Облачное хранилище фитнес-программы Fitify открыло для сети сотни тысяч файлов. Некоторые из них были фотографиями пользователей, которые они предпочли бы не распространять.
Неделя ИИ на ITC.ua при поддержке
Сервис Fitify забыл защитить собственное облачное хранилище Google и таким образом вызвал свободный доступ до 373 тыс. накопленных файлов. 138 тыс. из них оказались частными фотографиями пользователей сервиса, в которых они фиксировали изменения своего тела в результате спортивных нагрузок. Обычно такие фото делаются с минимумом одежды, неудивительно, что утечка быстро привлекла внимание.
Известно, что 13 тысяч файлов было распространено через ИИ-тренер и еще 6 тысяч были обозначены как данные «3D-сканирования тела» с изображениями и некоторыми данными ИИ. Частные данные были доступны без паролей или ключей и еще хуже ситуация могла стать, если бы уязвимостью успели воспользоваться злоумышленники. Через «окно» появилась возможность получить доступ к еще более важным данным пользователей.
Но к счастью этого не произошло, исследовательская группа Cybernews, которая обнаружила уязвимость, быстро сообщила работникам Fitify о проблеме. После этого общий доступ к хранилищу был закрыт.
Утечка показала, что данные с Fitify без каких-либо сложностей мог получить любой. Главной причиной оказалось отсутствие шифрования в режиме хранения. Еще компания предоставляет достаточно легкий доступ к такой важной информации, как Android Client ID, Google Client ID, Google API Key и многих других. И, например, зная первые два, можно с легкостью подделать легитимные экземпляры приложения и считать много данных пользователей, включая доступ к социальным сетям.
Также команда Cybernews провела дополнительное исследование, загрузила 156 тысяч различных приложений для iOS с Apple App Store (около 8% из всех доступных). В результате оказалось, что в 71% из них зафиксирована хотя бы одна утечка пользовательской информации. А средний показатель составил 5,2.
В итоге работники Cybernews заявили:
Creators — агентство международного PR для технологических и B2B-компаний 
PR для компаний и их лидеров Организация интервью в медиа, подкастах, выступлений на конференциях Европа, Азия, Америка Узнать больше 
«Исследовав уязвимости, мы обнаружили учетные данные, которые потенциально могут быть использованы как доступ к данным клиентов и серверной инфраструктуры приложений. Также исследования показывают, что неправильно настроенное управление доступом к облаку, было не единственной ошибкой, допущенной разработчиками приложений. Многочисленные ключи API и конфиденциальные данные часто присутствовали во фронтенде приложения»
Для предотвращения вышеуказанных проблем, команда Cybernews рекомендует:
- Настроить встроенные механизмы аутентификации облачных хранилищ так, чтобы доступ к ним был ограничен только для работников и систем, которые имеют право доступа к сохраненным данным.
- Избавляться от скомпрометированных учетных данных и создавать новые. Надежно хранить их на серверах компании.
- Просмотреть настройки контроля доступа для открытых конечных точек (endpoints).
- Чаще проводить аудит.
- Чаще обновлять приложения, чтобы они были совместимы с новой, более безопасной инфраструктурой.
Источник: Cybernews
Favbet Tech — украинская продуктовая компания, разработчик iGaming-решений. Входит в топ-50 крупнейших IT-компаний Украины по версии DOU. Специализируется на высоконагруженных системах, облачной инфраструктуре и искусственном интеллекте. В 2025 году стала инициатором создания АИ-комитета Ассоциации «ИТ Ukrainе» — первого отраслевого объединения, занимающегося вопросами развития АИ на уровне бизнеса и государства.
