15.09.2021
61 Millionen Datensätze
[Update] Wearables-Datenbank war ungesichert online verfügbar
Autor: Claudia Maag
Fitbit
Betroffen sind vor allem Fitbit- und Apples HealthKit-Daten. Die Datenbank gehört offenbar dem New Yorker Unternehmen GetHealth.
Über 61 Millionen Datensätze von Wearables und Fitness-Tracker-Nutzern auf der ganzen Welt enthielt eine ungesicherte Datenbank. Die Datenbank war nicht passwortgeschützt, schreibt das Onlineportal WebsitePlanet (engl.). Das WebsitePlanet-Team und der Cybersecurity-Forscher Jeremiah Fowler hatten den Datensatz entdeckt. Die riesige Menge an offengelegten Datensätzen bezog sich auf IoT-Gesundheits- und Fitness-Tracking-Geräte.
Weitere Untersuchungen des Materials führten zu GetHealth, einem in New York City ansässigen Unternehmen, das eine einheitliche Lösung für den Zugriff auf Gesundheits- und Wellnessdaten anbietet.
Heikle Daten wie Gewicht, Geschlecht und Zeitzone ersichtlich
WebsitePlanet schreibt, dass viele der Datensätze Benutzerdaten enthielten. Beispielsweise Vor- und Nachname, Anzeigename, Geburtsdatum, Gewicht, Grösse, Geschlecht, Zeitzone und mehr. Diese Informationen waren in Klartext verfügbar. Beim Standort war die Zeitzone z.B. Amerika/New_York oder Europa/Dublin oder Europa/Zurich angegeben.
Fitbit und Apples Health-Kit
Bei einer Stichprobe von mehr als 20'000 Datensätzen tauchten zwei der verbreitetsten Gesundheits- und Fitness-Tracker als «Quelle» auf: Fitbit und Apples Health-Kit. Dem Bericht zufolge erschien Fitbit (wurde 2019 von Google gekauft) 2766 Mal; Apples Health-Kit 17'764 Mal.
Beispielsweise das Apple Health-Kit kann komplexere Messwerte wie Blutdruck, Körpergewicht, Schlafwerte, Blutzucker und mehr erfassen. Wenn ein iPhone-Nutzer der Gesundheits- und Fitness-App von Apple die Erlaubnis erteilt hat, verwendet sie Sensoren im Smartphone, verbundene Wearables und intelligente Geräte, um Gesundheitsdaten zu sammeln.
Es ist möglich, dass auch andere Geräte und Apps betroffen sind. Mit GetHealth kann man auch Daten folgender Apps synchronisieren: 23andMe, Daily Mile, FatSecret, Fitbit, GoogleFit, Jawbone UP, Life Fitness, MapMyFitness, MapMyWalk, Microsoft, Misfit, Moves App, PredictBGL, Runkeeper, Sony Lifelog, Strava, VitaDock, Withings, Apple HealthKit, Android Sensor, S Health.
Zum Beispiel die Fitness-App Strava war Anfang 2018 in die Kritik geraten, weil von ihr veröffentlichte Aktivitätskarten Standort und Nutzung von Militärstützpunkten offenbaren können.
Datenbank nun gesichert
Dem Bericht zufolge kontaktierte das WebsitePlanet-Team GetHealth und informierte das Unternehmen über die unsichere Datenbank. GetHealth reagierte schnell: Bereits am nächsten Tag erhielt das Team eine Antwort, in der man sich für die Meldung bedankte und versicherte, dass die ungeschützten Daten gesichert worden seien.
Update 14.09.21 / 12:32 Uhr: Offenbar wurden sowohl die Webseite von GetHealth als auch der Twitter-Account offline genommen, wie unsere Redaktorin Gaby Salvisberg herausgefunden hat.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>