Fitness-app PumpUp, die meer dan 6 miljoen gebruikers zou hebben, heeft gezondheidsdata en privéberichten van gebruikers via een onbeveiligde server gelekt. Via de app kunnen gebruikers nieuwe oefeningen vinden, resultaten opslaan, foto's delen en advies van fitnesscoaches en gebruikers krijgen.
Het bedrijf had echter een belangrijke back-endserver die in de Amazon-cloud wordt gehost niet beveiligd, waardoor iedereen zonder wachtwoord toegang kon krijgen. Via de server was het in real-time mogelijk om te zien wie erop de app inlogde en berichten verstuurde, alsmede de inhoud van de berichten. Onder de data die via de server werd gelekt bevonden zich e-mailadressen, geboortedata, geslacht, stad, tijdszone en gebruikersprofiel, waaronder ook profielfoto's en wie de gebruiker had geblokkeerd.
Verder konden ook gezondheidsgegevens worden ingezien, waaronder lengte, gewicht, cafeïne- en alcoholgebruik, rookgedrag, gezondheidsproblemen, medicatie en blessures. Naast een unieke adverteerder-id waren in de gegevens ook het ip-adres van de gebruiker en sessie-tokens terug te vinden. Met de tokens kon er zonder wachtwoord toegang tot het account van gebruikers worden verkregen. Van gebruikers die via Facebook inlogden waren hun toegangstokens toegankelijk, waardoor hun Facebook-account risico liep.
Onderzoekers vonden ook onversleutelde creditcardgegevens terug, waaronder kaartnummers, verloopdata en kaartverificatiewaarden. Hoe lang de server onbeveiligd was is onbekend. Onderzoeker Oliver Hough ontdekte het probleem en waarschuwde Global News en ZDNet. De website was naar eigen zeggen meer dan een week bezig om het bedrijf achter de app te informeren, maar kreeg geen reactie. Afgelopen week werd de server beveiligd.
Deze posting is gelocked. Reageren is niet meer mogelijk.