Các tệp nhạy cảm của người dùng từ ứng dụng thể dục phổ biến Fitify đã được bảo mật sau khi các nhà nghiên cứu an ninh mạng phát hiện một kho lưu trữ Google Cloud có thể truy cập công khai chứa hàng trăm nghìn hình ảnh, bao gồm ảnh quét cơ thể và ảnh tiến trình cá nhân.

"Một kho lưu trữ Google Cloud đơn giản chỉ là một tủ hồ sơ trong không gian ảo," chuyên gia an ninh mạng Ritesh Kotak cho biết trong một cuộc phỏng vấn video với CTVNews.ca. "Các tệp của bạn, dữ liệu kỹ thuật số của bạn, tất cả các tìm kiếm... cần được lưu trữ ở đâu đó, và nó thường được lưu trữ trong một kho lưu trữ đám mây và Google là một trong những nhà cung cấp phổ biến hơn."

Kho lưu trữ bị lộ, hiện đã được đóng, được các nhà nghiên cứu tại Cybernews phát hiện vào đầu tháng 5.

Báo cáo của họ cho biết hơn 373.000 tệp có thể truy cập được mà không cần bất kỳ mật khẩu bảo vệ hoặc khóa bảo mật nào. Báo cáo cũng cho biết Fitify Workouts, công ty đứng sau ứng dụng, đã đóng kho lưu trữ đám mây bị lộ sau khi được Cybernews liên hệ.

Theo báo cáo của Cybernews, trong khi nhiều tệp là các kế hoạch tập luyện và video hướng dẫn, các nhà nghiên cứu cũng tìm thấy 206.000 ảnh hồ sơ người dùng, 138.000 ảnh tiến trình và khoảng 6.000 hình ảnh được gắn nhãn "Quét cơ thể." Một số tệp, báo cáo cho biết, đã được chia sẻ thông qua tính năng huấn luyện AI của Fitify, cho phép người dùng theo dõi các thay đổi cơ thể theo thời gian.

Theo trang web của mình, Cybernews là một "phương tiện truyền thông độc lập, nơi các nhà báo và chuyên gia bảo mật làm sáng tỏ các vấn đề mạng thông qua nghiên cứu, thử nghiệm và dữ liệu.

CTVNews.ca đã liên hệ với Fitify Workouts để bình luận, nhưng không nhận được phản hồi vào thời điểm bài viết này được xuất bản.

Khả năng bị tổn hại cá nhân cao

Theo các nhà nghiên cứu của Cybernews, "ảnh tiến trình" và "quét cơ thể" thường được chụp với trang phục tối thiểu để thể hiện rõ hơn tiến trình giảm cân và tăng cơ, vì vậy hầu hết các hình ảnh bị rò rỉ có thể thuộc loại mà người dùng bình thường muốn giữ riêng tư.

Kotak cho biết việc lộ dữ liệu có thể xảy ra khi một người có quyền truy cập đã tạo một liên kết công khai không được bảo mật hoặc đã hết hạn.

"Nếu bạn có thể lấy được liên kết đó, bạn có thể truy cập nó," ông nói. "Có nguy cơ gây hại đáng kể cho một cá nhân do tính nhạy cảm của thông tin."

Mô tả trên Google Play của Fitify cho người dùng biết dữ liệu của họ "được mã hóa trong quá trình truyền tải." Nhưng các nhà nghiên cứu của Cybernews cho biết kho lưu trữ đám mây có thể truy cập được đối với bất kỳ ai có liên kết và các tệp không được mã hóa khi lưu trữ, nghĩa là bất kỳ ai cũng có thể xem hoặc tải xuống nội dung.

"Sự rò rỉ này cho thấy các biện pháp kiểm soát truy cập được ứng dụng triển khai không đủ để bảo mật dữ liệu người dùng," Cybernews cho biết trong báo cáo của mình. "Việc dữ liệu này có thể được truy cập bởi bất kỳ ai mà không cần mật khẩu hoặc khóa chứng tỏ dữ liệu người dùng không được mã hóa khi lưu trữ."

Kotak đặt câu hỏi tại sao dữ liệu như vậy lại được lưu trữ trên đám mây ngay từ đầu.

"Tại sao dữ liệu này không được mã hóa? Tại sao nó lại được tải lên đám mây, thay vì được lưu trữ trên thiết bị của người dùng?" ông hỏi. "Đây là những thiếu sót bảo mật nghiêm trọng."

Kotak nói rằng người dùng nên thận trọng khi chia sẻ thông tin cá nhân với các ứng dụng thể dục và sức khỏe, đặc biệt khi có liên quan đến dữ liệu sinh trắc học hoặc ảnh.

"Khi bạn đăng ký một ứng dụng... bạn đang giao phó cho một tổ chức một số thông tin rất nhạy cảm và cá nhân," ông nói. "Hãy suy nghĩ trước khi nhấp chuột và hãy nhận thức rằng một khi thông tin của bạn được đưa vào tay một trong những tổ chức này, có khả năng một vụ vi phạm như thế này có thể xảy ra."

CTVNews.ca