보안 연구원인 Jeremiah Fowler와 협력하는 WebsitePlanet 연구팀은 전 세계 사용자의 6,100만 개 이상의 기록이 포함된 보호되지 않은 데이터베이스를 발견했습니다. 노출된 기록의 상당수는 IoT 건강 및 피트니스 추적 장치와 관련이 있습니다. 추가 조사 결과 수백 개의 웨어러블, 의료 기기 및 앱 데이터에서 건강과 웰빙에 접근할 수 있는 통합 솔루션을 제공하는 뉴욕시에 본사를 둔 회사인 "GetHealth"에 대한 언급이 여러 번 있었습니다. 저는 즉시 조사 결과에 대한 책임있는 공개 알림을 보냈고 다음날 알림에 대해 감사하고 공개된 데이터가 보호되었음을 확인하는 응답을 받았습니다.
발견에서 가장 충격적인 부분은 많은 기록에 성과 이름, 표시 이름, 생년월일, 체중, 키, 성별, 지리적 위치 등을 포함한 사용자 데이터가 포함되어 있다는 것입니다. 메시지는 일반 텍스트였으며 암호화된 것으로 보이는 ID가 포함되어 있었습니다. 위치 구조는 "미국/뉴욕", "유럽/더블린"과 동일하며, 사용자는 전 세계에 위치합니다.
20,000개 기록의 제한된 샘플링에서 최고의 웨어러블 건강 및 피트니스 추적기 중 일부가 '출처'인 것으로 보입니다. Fitbit(2021년 Google에 21억 달러에 인수됨)이 2766번 등장하는데, 이는 Apple의 Healthkit17764로 보입니다. 다른 앱이나 장치도 영향을 받을 수 있습니다. GetHealth 웹사이트에 따르면 23andMe, DailyMile, FatSecret, Fitbit, GoogleFit, JawboneUP, LifeFitness, MapMyFitness, MapMyWalk, Microsoft, Misfit, MovesApp, PredictBGL, Runkeeper, SonyLifelog, Strava, VitaDock, Withings, AppleHealthKit, AndroidSensor, sHealth.
AppleHealthkit은 혈압, 체중, 수면 수준, 혈당 등을 포함하여 보다 복잡한 지표를 수집할 수 있습니다. iPhone 사용자가 Apple의 건강 및 피트니스 앱에 대한 액세스를 허용하면 휴대폰, 연결된 웨어러블 및 스마트 장치의 센서를 사용하여 다른 많은 장치나 앱보다 더 많은 건강 데이터를 수집합니다. 이 작업은 사용자가 권한을 부여한 모든 iPhone과 백그라운드에서 자동으로 실행될 수 있습니다.
조사 결과의 세부정보는 다음과 같습니다.
총 크기: 16.71GB/총 기록: 61053956 노출 지수: deviceapi_FitnessDeviceAPI_heartratedeviceapi_profiledeviceapi_PulseOxdeviceapi_sleepdeviceapi_trackerdeviceapi_Weight
다음을 노출하는 내부 기록: deviceapi_profile ,유형,ID,점수,소스,소스,ID,체중,e_id,gettime,키,생일,gethealthID,이름,성,표시 이름,url,성별,orgid,시간대. 이 정보는 표적 피싱 공격에 사용되거나 사용자에 대한 추가 건강 정보를 얻는 데 사용될 수 있습니다. 이 문서에는 데이터가 저장되는 위치와 백엔드에서 네트워크가 실행되고 구성되는 방식에 대한 청사진도 나와 있습니다.
사용자 데이터가 데이터베이스에 표시되는 방식의 예:
프로필 계정 예:
피트니스 트래커는 개인 정보 보호 위험을 초래합니다.
피트니스 트래커는 설계되었습니다. 건강 위험을 나타낼 수 있는 중요한 정보를 제공함으로써 우리의 건강을 이해하고 개선합니다.
사용자 정보를 수집하는 과정에서 장치는 우리의 생활, 건강 등에 관한 매우 개인적인 정보에 접근할 수 있어야 합니다.
Pew Research Center 보고서에 따르면 미국 성인의 약 20%가 일종의 웨어러블 기기나 피트니스 트래커를 소유하고 있습니다. 이러한 장치는 수년에 걸쳐 수많은 건강 관련 데이터 포인트를 생성하고 장기적인 개인 정보 보호 위험을 야기합니다.
이러한 장치 중 다수는 익명이 아니며 사용자 계정에 연결되어 프로필에 개인 식별 정보를 입력하도록 권장합니다. 이를 통해 데이터 침해가 발생한 경우 데이터가 누구에게 속해 있는지 식별하는 것이 매우 쉽습니다. 또 다른 문제는 웨어러블 기기에 대한 통일된 개인 정보 보호 표준이 없어 기업이 해당 데이터를 광고, 마케팅에 사용하거나 제3자와 공유할 수 있다는 것입니다. 고려해야 할 또 다른 질문은 회사가 사용자에게 "사용 종료 정책"을 어떻게 제공할 것이며 이 데이터는 얼마나 오래 저장됩니까? 의료 기기란 무엇입니까
웨어러블은 복잡한 질문을 제기합니다.
웨어러블 및 피트니스 추적기 또는 IoT 웨어러블이 의료 기기로 간주되는 방식에 대한 논쟁이 있습니다. 의료 목적의 애플리케이션 간의 경계가 점점 더 모호해지고 있습니다. 최근 몇 년 동안 영국, 미국, EU의 규제 당국은 의료 기기가 무엇인지, 어떻게 규제해야 하는지 정의하려고 노력해 왔습니다. 이 정보는 의학 연구와 건강 및 웰니스 산업에 귀중한 정보입니다.
미국 식품의약국(FDA)은 FitBit을 일반의약품 소프트웨어 및 클래스 II 의료 기기로 지정합니다. 2020년 9월 14일, Fitbit은 부정맥 추적을 위한 심전도 기능에 대해 FDA 승인 및 CE 마크 승인을 받았습니다. Fitbit의 기기는 현재 전 세계적으로 약 2,900만 명의 사용자로부터 데이터를 수집하고 있으며, Google은 Fitbit 사용자의 건강 데이터가 Google 광고에 사용되지 않을 것이라고 주장합니다. 다른 많은 영역에서 이 기술은 사용자 개인 정보 보호를 희생하면서 법적 규제를 능가합니다.
겟헬스에 따르면. io의 웹사이트와 FAQ 프로세스는 HIPAA를 준수하며 "사용자의 데이터는 SSL 전송, AES256 암호화, 로깅 및 모니터링을 통해 안전하며 모든 데이터는 HIPAA 준수 방식으로 저장 및 관리됩니다"라고 명시되어 있습니다.
The Health 1996년 보험 양도 및 책임법(HIPAA)은 민감한 환자 건강 정보가 환자의 동의나 인지 없이 공개되지 않도록 보호하기 위해 고안된 미국 연방법입니다. 현재 데이터가 개인적인 용도로 사용되는 한 웨어러블 기술에 적용되는 명확한 HIPAA 규정은 없습니다. 그러나 웨어러블 기술의 데이터가 의료 서비스 제공자 또는 기타 기관으로 전달되면 HIPAA 규정 및 HIPAA 규정 준수 표준이 적용될 수 있습니다. 웨어러블 기기와 스마트폰에는 환자 생성 건강 데이터(PGHD)를 수집하는 기술이 있어 민감한 건강 데이터가 노출될 가능성이 있지만 규제가 훨씬 뒤처진 것으로 보입니다.
대부분의 웨어러블 사용자는 사이버 범죄자가 자신의 걸음 수나 수면 시간에 관심이 없다고 생각하지만 데이터가 사용되거나 공유되는 방식을 무시하는 것은 실수입니다. 모든 데이터는 가치가 있으며, 웨어러블 장치 기술이 발전함에 따라 사용자에 대해 수집된 데이터의 유형과 정확성도 높아집니다. 간단한 만보계나 보수계는 상대적으로 무해한 반면, 일부 웨어러블 장치는 심박수나 체질량 지수와 같은 보다 자세한 정보를 식별할 수 있습니다. 이론적으로 피트니스 트래커가 수백만 명의 사용자로부터 수집한 자세한 정보는 해당 사용자와 전반적인 건강에 대한 전반적인 그림을 제공할 수 있습니다. 이 데이터는 다른 공격, 사기, 강탈을 수행하거나 보다 구체적인 건강 정보를 얻는 데 사용될 수 있습니다.
건강 데이터를 수집하고 저장하는 것은 위험합니다.
수집된 모든 정보는 어딘가에 저장되어야 하며, 이로 인해 취약성과 잠재적인 데이터 노출 지점이 발생합니다. 의료 산업에는 수집하는 방대한 양의 데이터를 수집하고 필터링하기 위한 데이터 관리 플랫폼이 필요합니다. 세계 건강관리 시장은 2026년까지 467억 달러 규모로 성장할 것으로 예상된다. 의료 기술 산업이 성장함에 따라 수집하고 저장하는 데이터의 양도 늘어나고 있습니다.
웨어러블 기기의 건강 데이터는 정보의 보고이며 의심할 여지 없이 사이버 범죄자의 표적이 될 것입니다. 의료 산업이 다른 어떤 산업보다 더 많은 데이터 유출을 경험한다는 것은 비밀이 아닙니다.
Trustwave의 보고서에 따르면 의료 데이터는 암시장이나 다크 웹에서 기록당 최대 250달러에 판매됩니다. 이는 신용카드 기록의 예상 금액인 5.40달러와 비교하면 상당한 금액입니다.
기록이 얼마나 오랫동안 노출되었는지, 또 누가 데이터 세트에 접근했는지는 불분명합니다. 보안 연구원으로서 우리는 찾은 데이터를 절대 추출하거나 다운로드하지 않으며 확인을 위해 제한된 수의 스크린샷만 찍습니다. 우리는 Gethealth, 고객 또는 파트너의 잘못된 행위를 암시하지 않습니다. 또한 우리는 고객이나 사용자 데이터가 위험에 처해 있다는 것을 암시하지 않습니다. 데이터베이스가 대중에게 공개될 때까지 영향을 받은 개인의 정확한 수를 확인할 수 없습니다. 우리는 IoT, 웨어러블, 피트니스, 건강 추적기로 인한 위험과 사이버 보안 취약성에 대한 인식을 높이고 이 데이터가 저장되는 방식을 알리기 위해 조사 결과를 강조합니다. 모든 회사 또는 조직은 민감한 데이터를 암호화하고, 사이버 위생 조치를 개발하고, 빈번한 침투 테스트를 수행할 것을 권장합니다.