61 Millionen Datensätze 15.09.2021, 11:35 Uhr

Wearables-Datenbank war ungesichert online verfügbar

Betroffen sind vor allem Fitbit- und Apples HealthKit-Daten. Die Datenbank gehört offenbar dem New Yorker Unternehmen GetHealth.
Ein Charge-4-Fitnesstracker von Fitbit
(Quelle: Fitbit)
Über 61 Millionen Datensätze von Wearables und Fitness-Tracker-Nutzern auf der ganzen Welt enthielt eine ungesicherte Datenbank. Die Datenbank war nicht passwortgeschützt, schreibt das Onlineportal WebsitePlanet (engl.). Das WebsitePlanet-Team und der Cybersecurity-Forscher Jeremiah Fowler hatten den Datensatz entdeckt. Die riesige Menge an offengelegten Datensätzen bezog sich auf IoT-Gesundheits- und Fitness-Tracking-Geräte.
Weitere Untersuchungen des Materials führten zu GetHealth, einem in New York City ansässigen Unternehmen, das eine einheitliche Lösung für den Zugriff auf Gesundheits- und Wellnessdaten anbietet.

Heikle Daten wie Gewicht, Geschlecht und Zeitzone ersichtlich

WebsitePlanet schreibt, dass viele der Datensätze Benutzerdaten enthielten. Beispielsweise Vor- und Nachname, Anzeigename, Geburtsdatum, Gewicht, Grösse, Geschlecht, Zeitzone und mehr. Diese Informationen waren in Klartext verfügbar. Beim Standort war die Zeitzone z.B. Amerika/New_York oder Europa/Dublin oder Europa/Zurich angegeben.

Fitbit und Apples Health-Kit

Bei einer Stichprobe von mehr als 20'000 Datensätzen tauchten zwei der verbreitetsten Gesundheits- und Fitness-Tracker als «Quelle» auf: Fitbit und Apples Health-Kit. Dem Bericht zufolge erschien Fitbit (wurde 2019 von Google gekauft) 2766 Mal; Apples Health-Kit 17'764 Mal.
Beispielsweise das Apple Health-Kit kann komplexere Messwerte wie Blutdruck, Körpergewicht, Schlafwerte, Blutzucker und mehr erfassen. Wenn ein iPhone-Nutzer der Gesundheits- und Fitness-App von Apple die Erlaubnis erteilt hat, verwendet sie Sensoren im Smartphone, verbundene Wearables und intelligente Geräte, um Gesundheitsdaten zu sammeln.
Hier sind als Quelle alles Fitbit-Wearables angegeben. Ein Standort befindet sich offenbar in Zürich
Quelle: websiteplanet.com
Es ist möglich, dass auch andere Geräte und Apps betroffen sind. Mit GetHealth kann man auch Daten folgender Apps synchronisieren: 23andMe, Daily Mile, FatSecret, Fitbit, GoogleFit, Jawbone UP, Life Fitness, MapMyFitness, MapMyWalk, Microsoft, Misfit, Moves App, PredictBGL, Runkeeper, Sony Lifelog, Strava, VitaDock, Withings, Apple HealthKit, Android Sensor, S Health.
Zum Beispiel die Fitness-App Strava war Anfang 2018 in die Kritik geraten, weil von ihr veröffentlichte Aktivitätskarten Standort und Nutzung von Militärstützpunkten offenbaren können.

Datenbank nun gesichert

Dem Bericht zufolge kontaktierte das WebsitePlanet-Team GetHealth und informierte das Unternehmen über die unsichere Datenbank. GetHealth reagierte schnell: Bereits am nächsten Tag erhielt das Team eine Antwort, in der man sich für die Meldung bedankte und versicherte, dass die ungeschützten Daten gesichert worden seien.
Update 14.09.21 / 12:32 Uhr: Offenbar wurden sowohl die Webseite von GetHealth als auch der Twitter-Account offline genommen, wie unsere Redaktorin Gaby Salvisberg herausgefunden hat.




Das könnte Sie auch interessieren