L’application de fitness Fitify a exposé des milliers de photos privées d’utilisateurs.
L’équipe de recherche de Cybernews a découvert une fuite de données impliquant Fitify, une application de fitness populaire avec plus de 25 millions d’installations dans le monde. Les chercheurs ont découvert que 373 000 fichiers utilisateur sensibles, dont 138 000 photos de progression, étaient stockés dans un compartiment Google Cloud accessible au public, sans protection par mot de passe ni chiffrement au repos, ce qui signifie que n’importe qui pouvait y accéder.

Types de fichiers exposés

Parmi les fichiers divulgués figuraient :

• 206 000 photos de profil d’utilisateur
• 138 000 photos de progression téléchargées par les utilisateurs pour suivre les changements de forme physique
• 13 000 pièces jointes de messages de coach IA, qui peuvent inclure des images ou du texte
• 6 000 fichiers de scan corporel, y compris des photos et des métadonnées générées par l’IA (par exemple, masse maigre, graisse corporelle, posture)

Faits saillants de la recherche

La plupart des photos exposées étaient des scans corporels à moitié nus, capturés par des utilisateurs essayant de documenter la perte de poids ou la croissance musculaire. Fitify promet le cryptage en transit, mais l’absence de contrôles d’accès de base pose de sérieux risques pour la vie privée. Les chercheurs ont également trouvé des secrets codés en dur intégrés dans le code de l’application, notamment l’API Google et les identifiants des clients, les URL de la base de données Firebase, les jetons Facebook et même une clé API Algolia, qui n’a pas été divulguée dans la politique de confidentialité. Ces informations d’identification exposées peuvent permettre aux attaquants d’accéder à l’infrastructure backend, d’usurper l’identité d’utilisateurs ou d’injecter du contenu malveillant.

Pour lire le rapport de recherche complet et voir des exemples de captures d’écran, veuillez cliquer ici.