가장 불안한 발견은 이름과 성, 표시명, 생년월일, 체중, 키, 성별, 지리적 위치 등 많은 기록에 사용자 데이터가 포함되어 있다는 점이다. 이 메시지들은 모두 명문이고, 또 하나의 ID 는 암호화된 것 같다. 지역 구조는 미국/뉴욕 및 유럽/더블린과 동일하며 사용자가 전 세계에 분산되어 있습니다.
20k+ 에서 기록한 제한된 샘플 중 일부 최고급 착용가능 건강 및 헬스 추적기가' 출처' 인 것 같다. Fitbit(202 1 구글에 의해 2 1 억 달러로 인수) 가 2766 회 나타났는데, 마치 애플의 Healthkit 17764 인 것 같다. 다른 응용 프로그램이나 장치도 영향을 받을 수 있습니다. GetHealth 의 웹사이트에 따르면, 이들은 23andMe, DailyMile, FatSecret, Fitbit, GoogleFit, JawboneUP, LifeFitness, MapMyFitness, map map 등의 데이터를 동기화할 수 있습니다 소니 lifelog, Strava, VitaDock, Withings, AppleHealthKit, AndroidSensor, sHealth.
AppleHealthkit 은 혈압, 체중, 수면 수준, 혈당 등 더 복잡한 지표를 수집할 수 있다. 아이폰 사용자가 Apple 의 건강 및 헬스 앱을 사용할 수 있게 되면 휴대전화의 센서, 연결된 웨어러블 장치 및 스마트 장치를 사용하여 많은 다른 장치나 어플리케이션보다 더 많은 건강 데이터를 수집합니다. 이 작업은 백그라운드에서 자동으로 실행하거나 사용자가 권한을 부여한 모든 아이폰에서 실행할 수 있습니다.
다음은 조사 결과의 세부 사항입니다.
총 크기: 16.7 1GB/ 총 레코드: 6 1053956 노출 지수: 장치 API _ fitnessdeviceapi
Deviceapi_ profile, type, id, score, source, source, source, id, weight, e_id, 수집 시간, 높이 이 정보는 피싱 공격을 목표로 하거나 사용자의 기타 건강 정보를 얻는 데 사용할 수 있습니다. 또한 데이터가 저장되는 위치, 백엔드에서 네트워크를 실행하고 구성하는 방법에 대한 청사진도 보여 줍니다.
사용자 데이터가 데이터베이스에 나타나는 방식의 예:
샘플 개인 데이터 계정:
헬스 추적기는 프라이버시의 위험을 가져온다.
헬스 추적기는 건강 위험을 나타낼 수 있는 중요한 정보를 제공하여 우리의 건강을 이해하고 개선하기 위한 것이다. 사용자 정보를 수집하는 과정에서 장치는 우리의 생활, 건강 등 매우 사적인 정보에 액세스할 수 있어야 합니다.
퓨 연구센터의 한 보고서에 따르면 미국 성인의 20% 가 착용 가능한 장비나 헬스 추적기를 가지고 있는 것으로 추산된다. 이러한 장치는 수년 내에 많은 건강 관련 데이터 포인트를 생성하고 장기적인 개인 정보 보호 위험을 초래합니다.
이들 장치 중 상당수는 익명이 아니며 사용자 계정에 연결되어 프로필에 개인 ID 정보를 입력하도록 권장하고 있습니다. 이를 통해 데이터 유출 시 데이터가 속한 사람을 쉽게 식별할 수 있습니다. 또 다른 문제는 웨어러블 장비에 대한 일관된 개인 정보 보호 기준이 없기 때문에 회사에서 광고, 마케팅 또는 제 3 자와 공유할 수 있다는 점입니다. 또 다른 고려 사항은 기업이 사용자에게 "최종 사용 정책" 을 어떻게 제공할 것이며, 이 데이터는 얼마나 오래 저장될 것인가 하는 것입니다. 의료 기기란 무엇입니까?
웨어러블 장비는 복잡한 문제를 야기한다.
착용가능 및 헬스 추적기 또는 사물인터넷 웨어러블 장비를 의료 장비로 취급하는 방법에 대한 논란이 있다. 의학 응용 사이의 경계가 점점 흐려지고 있다. 최근 몇 년 동안 영국, 미국, 유럽연합의 규제 기관들은 의료 장비가 무엇인지, 의료 기기를 어떻게 감독하는지 정의하려고 시도했다. 이 정보는 의학 연구와 보건업계에 매우 가치가 있다.
미국 식품의약감독국은 FitBit 를 처방전이 없는 의약품 소프트웨어와 2 종 의료 장비로 지정했다. 2020 년 9 월 14 일, Fitbit 의 부정맥 추적 심전도 기능은 FDA 및 CE 마크 승인을 받았습니다. Fitbit 장비는 현재 전 세계 약 2900 만 명의 사용자에 대한 데이터를 수집하고 있으며 구글은 Fitbit 사용자의 건강 데이터가 구글 광고에 사용되지 않을 것이라고 주장합니다. 다른 많은 분야에서, 이 기술은 이미 법률과 규정을 뛰어넘어 사용자의 프라이버시를 희생했다.
Gethealth 에 따르면. Io 의 웹 사이트와 FAQ 프로세스는 HIPAA 표준을 준수하며 "SSL 전송, AES256 암호화, 로깅 및 모니터링을 통해 사용자의 데이터는 안전하며 모든 데이터는 HIPAA 표준에 따라 저장 및 관리됩니다." 라고 선언합니다.
1996 건강보험유통책임법 (HIPAA) 은 민감한 환자의 건강정보를 환자의 동의나 통보 없이 공개하지 않도록 보호하기 위한 미국 연방법이다. 아직 명확한 HIPAA 규정이 없습니다. 데이터가 개인 용도로 사용되는 한 웨어러블 기술에 적용됩니다. 그러나 착용 가능한 기술에 대한 데이터가 의료 공급업체 또는 기타 기관으로 전송되면 HIPAA 규정 및 HIPAA 규정 준수 표준에 따라 제한될 수 있습니다. 웨어러블 장비와 스마트폰은 환자가 생성한 건강데이터 (PGHD) 를 수집하는 기술을 갖추고 있어 민감한 건강데이터를 노출시킬 수 있지만 규제는 충분하지 않은 것 같다.
대부분의 웨어러블 사용자들은 사이버 범죄자가 얼마나 많이 걷거나 잠을 잤는지에 관심이 없을 것이라고 생각하지만, 데이터 사용을 무시하거나 데이터를 즐기는 방식은 잘못된 것이다. 모든 데이터는 가치가 있다. 웨어러블 장비 기술이 발달하면서 사용자로부터 수집한 데이터의 유형과 정확성도 높아지고 있습니다. 간단한 보행기나 보행기는 비교적 무해하지만, 일부 웨어러블 장치는 심박수나 체질량 지수와 같은 보다 자세한 정보를 식별할 수 있다. 이론적으로 헬스 추적기는 수백만 명의 사용자가 수집한 상세 정보를 통해 이들과 전반적인 건강 상태에 대한 전체적인 설명을 제공할 수 있다. 그런 다음 이 데이터를 사용하여 다른 공격, 사기, 협박 또는 보다 구체적인 건강 정보를 얻을 수 있습니다.
건강 데이터를 수집하고 저장하는 것은 위험합니다.
수집한 모든 정보는 한 곳에 저장해야 하며, 이로 인해 허점과 잠재적인 데이터 노출 지점이 생길 수 있습니다. 의료 업계는 수집한 대량의 데이터를 수집하고 필터링할 수 있는 데이터 관리 플랫폼이 필요합니다. 2026 년까지 글로벌 건강 관리 시장은 467 억 달러로 성장할 것으로 예상된다. 의료 기술 산업이 발전하면서 수집하고 저장하는 데이터의 양도 증가하고 있다.
웨어러블 장비의 건강 데이터는 정보 보고로 사이버 범죄의 목표가 될 수밖에 없다. 우리 모두 알고 있듯이, 건강 산업은 다른 어떤 산업보다 더 많은 데이터 유출을 겪고 있습니다. Trustwave 보고서에 따르면 의료 데이터는 암시장이나 암암망에서 기록당 최대 250 달러에 판매될 수 있습니다. 약 5.40 달러의 신용 카드 기록 평가에 비해 상당한 금액이다.
이 기록들이 얼마나 오래 노출되었는지도, 또 누가 데이터 세트에 접근할 수 있는지도 아직 분명하지 않다. 보안 연구원으로서, 우리는 우리가 찾은 데이터를 추출하거나 다운로드하지 않고, 단지 제한된 수의 스크린 샷만 찍어 검증한다. Dell 은 Gethealth, 고객 또는 파트너가 어떠한 위법 행위도 저질렀다는 것을 암시하지 않았습니다. 우리는 어떤 고객이나 사용자 데이터도 위험하다고 말하는 것도 아니다. 데이터베이스가 공개 액세스가 금지될 때까지 영향을 받는 개인의 정확한 수를 확인할 수 없습니다. Dell 은 인터넷, 웨어러블 장비, 헬스 및 건강 추적기로 인한 위험 및 네트워크 보안 취약점에 대한 인식과 데이터 저장 방법에 대한 인식을 높이기 위해 Dell 의 발견을 강조했습니다. 모든 회사나 조직이 민감한 데이터를 암호화하고, 네트워크 건강 조치를 개발하고, 침투 테스트를 자주 수행하는 것이 좋습니다.