Informe: La filtración de datos de un rastreador de actividad física expuso 610.000 registros y datos de usuarios en Internet.
El descubrimiento más inquietante es que muchos de los registros contienen datos del usuario, incluidos nombre y apellido, nombre para mostrar, fecha de nacimiento, peso, altura, sexo, ubicación geográfica y más. Todos estos mensajes están en texto claro y hay una identificación que parece estar encriptada. La estructura geográfica es la misma que "Estados Unidos/Nueva York" y "Europa/Dublín", con usuarios ubicados en todo el mundo.
En una muestra limitada de más de 20.000 registros, algunos de los principales rastreadores de salud y fitness portátiles parecen ser una "fuente". fitbit (adquirido por Google por 2.100 millones de dólares en 2021) apareció 2766 veces y parece ser el Healthkit17764 de Apple. Otras aplicaciones o dispositivos también pueden verse afectados. Según el sitio web de GetHealth, pueden sincronizar los siguientes datos: 23andMe, DailyMile, FatSecret, Fitbit, GoogleFit, JawboneUP, LifeFitness, MapMyFitness, MapMyWalk, Microsoft, Misfit, MovesApp, PredictBGL, Runkeeper, SonyLifelog, Strava, VitaDock, Withings, AppleHealthKit, AndroidSensor, sHealth.
AppleHealthkit puede recopilar indicadores más complejos, como presión arterial, peso, niveles de sueño, azúcar en sangre y más. Una vez que a los usuarios de iPhone se les permita usar la aplicación Salud y Fitness de Apple, ésta utilizará sensores en el teléfono, dispositivos portátiles conectados y dispositivos inteligentes para recopilar más datos de salud que muchos otros dispositivos o aplicaciones. Esta acción puede ejecutarse silenciosamente en segundo plano o en cualquier iPhone al que el usuario le haya otorgado permiso.
Los siguientes son los detalles de los resultados de la encuesta:
Tamaño total: 16,71 GB/Registros totales: 61053956 Índice de exposición: API del dispositivo _ fitnessdeviceAPI _ heartrateiceapi _ ProfiledeviceAPI _ PulseoxdeviceAPI _ SleepdeviceAPI _ TrackerdeviceAPI _ peso.
Exponga los siguientes registros internos: dispositivoapi_ perfil, tipo, identificación, puntuación, fuente, fuente, identificación, peso, e_id, hora de recolección, altura, cumpleaños, gethealthid, nombre, apellido, nombre para mostrar, URL, género, identificación de la organización, zona horaria. Esta información se puede utilizar para ataques de phishing dirigidos o para obtener otra información de salud del usuario. El documento también muestra dónde se almacenan los datos y un plano de cómo ejecutar y configurar la red desde el backend.
Ejemplos de cómo aparecen los datos del usuario en las bases de datos:
Ejemplos de cuentas de datos personales:
Los rastreadores de actividad física plantean riesgos para la privacidad.
Los rastreadores de actividad física están diseñados para comprender y mejorar nuestra salud proporcionando información crítica que puede indicar riesgos para la salud. En el proceso de recopilación de información del usuario, los dispositivos deben poder acceder a información muy privada, como nuestra vida y nuestra salud.
Según un informe del Pew Research Center, se estima que el 20% de los adultos en Estados Unidos poseen algún tipo de dispositivo portátil o rastreador de actividad física. Estos dispositivos generarán cantidades masivas de datos relacionados con la salud durante muchos años y crearán riesgos de privacidad a largo plazo.
Muchos de estos dispositivos no son anónimos y están vinculados a cuentas de usuario, lo que los anima a ingresar información de identificación personal en sus perfiles. Esto hace que sea extremadamente fácil identificar a quién pertenecen los datos en caso de una violación de datos. Otro problema es que no existen estándares de privacidad uniformes para los dispositivos portátiles y las empresas pueden utilizar los datos para publicidad, marketing o compartirlos con terceros. Otra cuestión a considerar es ¿cómo proporcionará la empresa una "política de uso final" a los usuarios y durante cuánto tiempo se almacenarán estos datos? ¿Qué es un dispositivo médico?
Los dispositivos portátiles presentan problemas complejos.
Existe cierto debate sobre cómo los wearables y los rastreadores de actividad física, o wearables para el Internet de las cosas, se consideran dispositivos médicos. Los límites entre las aplicaciones médicas son cada vez más borrosos.
En los últimos años, los reguladores del Reino Unido, EE. UU. y la UE han intentado definir qué es un dispositivo médico y cómo regularlo. Esta información es extremadamente valiosa para la investigación médica y la industria del cuidado de la salud.
La Administración de Alimentos y Medicamentos de EE. UU. designó a FitBit como un software para medicamentos de venta libre y un dispositivo médico de Clase II. El 14 de septiembre de 2020, la función de electrocardiograma de Fitbit para el seguimiento de arritmias recibió la aprobación de la FDA y la marca CE. Los dispositivos de Fitbit actualmente recopilan datos de alrededor de 29 millones de usuarios en todo el mundo, y Google afirma que los datos de salud de los usuarios de Fitbit no se utilizarán para los anuncios de Google. En muchos otros ámbitos, esta tecnología ha trascendido las leyes y regulaciones, sacrificando la privacidad de los usuarios.
Según Gethealth. El sitio web de Io y las preguntas frecuentes sobre este proceso cumplen con HIPAA y establecen que "los datos de los usuarios están seguros mediante transmisión SSL, cifrado AES256, registro y monitoreo, y todos los datos se almacenan y administran de manera compatible con HIPAA".
La Ley de Responsabilidad y Portabilidad del Seguro Médico de 1996 (HIPAA) es una ley federal de los Estados Unidos que protege la información confidencial de salud del paciente para que no se divulgue sin el consentimiento o conocimiento del paciente. Actualmente no existen regulaciones claras de HIPAA que se apliquen a la tecnología portátil, siempre que los datos sean para uso personal. Sin embargo, una vez que los datos de la tecnología portátil se transfieren a un proveedor de atención médica u otra institución, pueden quedar sujetos a las regulaciones de HIPAA y a los estándares de cumplimiento de HIPAA. Los dispositivos portátiles y los teléfonos inteligentes tienen la tecnología para recopilar datos de salud generados por el paciente (PGHD), lo que podría exponer datos de salud confidenciales, pero la regulación no parece ir lo suficientemente lejos.
La mayoría de usuarios de wearables creen que a ningún ciberdelincuente le interesará cuántos pasos dan o cuánto duermen, pero sería un error ignorar cómo se utilizan los datos o cómo se disfrutan. Todos los datos son valiosos. A medida que evoluciona la tecnología de los dispositivos portátiles, también lo hace el tipo y la precisión de los datos recopilados de los usuarios. Un simple podómetro o podómetro es relativamente inofensivo, mientras que algunos dispositivos portátiles pueden identificar información más detallada, como la frecuencia cardíaca o el índice de masa corporal. En teoría, la información detallada que los rastreadores de actividad física recopilan sobre millones de usuarios podría proporcionar una imagen holística de esas personas y su salud general. Estos datos luego se pueden utilizar para realizar otros ataques, fraudes, extorsiones u obtener información de salud más específica.
Recopilar y almacenar datos de salud es riesgoso.
Toda la información recopilada debe almacenarse en algún lugar, lo que crea vulnerabilidades y posibles puntos de exposición de los datos. La industria de la salud necesita una plataforma de gestión de datos para recopilar y filtrar las grandes cantidades de datos que recopila. Se espera que el mercado mundial de gestión de la salud crezca hasta alcanzar los 46.700 millones de dólares en 2026. A medida que crece la industria de la tecnología médica, también crece la cantidad de datos recopilados y almacenados.
Los datos de salud de los dispositivos portátiles son un tesoro de información y, sin duda, se convertirán en un objetivo para los ciberdelincuentes. No es ningún secreto que la industria de la salud sufre más violaciones de datos que cualquier otra industria. Según un informe de Trustwave, los datos sanitarios se pueden vender en el mercado negro o en la web oscura por hasta 250 dólares por registro. Esa es una cantidad sustancial en comparación con la valoración récord estimada de la tarjeta de crédito de aproximadamente $ 5,40.
No está claro cuánto tiempo han estado expuestos los registros ni quién más tiene acceso al conjunto de datos. Como investigadores de seguridad, nunca extraemos ni descargamos los datos que encontramos y solo tomamos una cantidad limitada de capturas de pantalla para su verificación. No implicamos ninguna irregularidad por parte de Gethealth, sus clientes o socios. Tampoco estamos diciendo que los datos de ningún cliente o usuario estén en riesgo. No podremos determinar el número exacto de personas afectadas hasta que se bloquee el acceso público a la base de datos. Simplemente destacamos nuestros hallazgos para crear conciencia sobre los peligros y las vulnerabilidades de ciberseguridad que plantean el IoT, los dispositivos portátiles, los rastreadores de actividad física y salud, y cómo se almacenan estos datos. Recomendamos que cualquier empresa u organización cifre datos confidenciales, desarrolle medidas de salud cibernética y realice pruebas de penetración frecuentes.