医疗保健应用中昂贵的安全性失败

2020-11-25 03:52:25

让我们看一下其中的几种攻击,以了解出了什么问题并保护您的企业免受此类风险的侵害。

MyFitnessPal是典型的健身应用程序。它允许用户记录有氧运动和力量锻炼,与50多种设备和其他应用程序连接,跟踪步数,计算卡路里等等。 MyFitnessPal于2009年发布,迅速受到欢迎-连续四年被评为第一大健康和健身应用程序。但是一切都在2018年2月发生了变化。

MyFitnessPal数据泄露可能是医疗行业中最广为人知的事件之一。黑客访问了近1.5亿用户的个人数据,窃取了他们的姓名,哈希密码,IP地址和电子邮件地址。幸运的是,由于这些数据是分别收集和存储的,因此犯罪分子无法获取用户的信用卡号和社会保险号。

Under Armour于2015年收购MyFitnessPal,该公司在2018年3月底意识到数据泄露。四天后,用户开始收到通知和电子邮件,要求他们更改密码并提供有关如何保护其帐户的建议。 2019年2月,被盗的个人详细信息出现在黑暗的网络上。

Under Armour拥有的其他应用程序没有受到影响,但由于数据泄露,该公司仍损失了其市场价值的4.6%。但是,公司和应用程序幸存下来。 MyFitnessPal在应用商店中仍然拥有大量用户,并且获得了很高的评价(在Google Play上为4.5)。

MyFitnessPal应该已经配备了两步验证。对于移动应用程序,我们建议使用生物特征认证或至少推送通知。

对于大多数密码,Under Armour使用了Bcrypt哈希函数。这是一个可靠的机制。但是对于其余的密码,该公司使用了较弱的SHA-1。对所有密码使用Bcrypt可能会减小破坏范围。

分别收集和存储最重要的数据是一个好习惯-它可以确保信用卡数据的安全。否则,Under Armour可能会面临更严重的市场价值损失。

如果发生违规行为,必须尽快通知用户-保持沉默只会破坏您公司的声誉。 Under Armour在这里表现出色。

PumpUp将自己定位为全球最积极的健身社区。它为用户提供了众多的锻炼和程序,有机会了解更多有关健身的信息并获得其他成员的支持以及其他功能。该应用程序于2012年发布后,它变得非常流行。

PumpUp数据泄露事件发生在2018年5月,当时超过600万用户的个人数据不再是私有的。泄露的数据包括有关用户位置,电子邮件地址,性别和生日,全分辨率个人资料照片,锻炼数据,健康信息(例如体重和身高),设备数据和私人消息的信息。在某些情况下,甚至信用卡数据也会被泄露。

发生此事件的原因是,在Amazon Cloud上托管的核心后端服务器在不确定的时间内没有密码。任何人都可以看到该应用程序用户的私人内容。

该公司甚至没有发现该暴露的服务器,而是由安全研究员Oliver Hough发现的,然后与商业技术新闻网站ZDNet联系以调查此案。 ZDNet花了一周时间尝试与PumpUp联系,但没有任何回复。但是,最后,服务器是安全的。

由于违规事件后PumpUp没有提供任何评论,因此我们无法确切说明他们损失了多少钱。但是他们的声誉肯定受到影响。

为避免此问题,PumpUp至少必须使用密码保护其数据。理想情况下,这应该与两因素身份验证结合使用以确保用户数据安全。

公司似乎没有进行任何安全测试-定期进行安全扫描可以帮助他们更早发现问题。 EGO建议您定期进行此类测试。

PumpUp犯的另一个错误是忽略了来自ZDNet的通信并忽略了该事件。如果发生违规行为,公司应保持联系以向用户表明其在意。

Strava是一款健身应用程序,用于跟踪跑步,骑自行车,游泳和其他活动。它允许用户映射和记录他们的路线,分析他们的活动,参与挑战等。该应用程序于2009年发布,此后仅在Android OS上就安装了超过1000万次(根据Google Play;否提供iOS下载数据)。

Strava失败的故事始于2017年11月,当时该公司发布了一份全球热图,显示了所有选择公开其数据的用户的运行路线。为了制作地图,Strava在10亿次活动中使用了来自智能手机和健身跟踪设备的GPS数据。该数据是从2015年到2017年收集的。在此期间,超过2700万用户跟踪了他们的路线,并且由于令人困惑的隐私设置,其中一些甚至不知道自己正在共享敏感数据。

这张地图是Strava的创意。但是在2018年1月,澳大利亚学生内森·鲁瑟(Nathan Ruser)注意到,通过分析地图,可以确定军事基地和其他敏感地点的下落。

Strava及其地图受到了很多批评。作为回应,该公司并未删除地图,而是对其进行了重大更改。

首先,数据不再对所有人都可用-要放大并查看街道级别的详细信息,用户现在必须使用其Strava帐户登录。

其次,地图现在每月更新一次,这意味着,如果用户更改了隐私设置并且不想再提供热点地图的数据,那么他们的数据将不会包含在下个月的地图中。

第三,只有很少的用户(例如,不仅是跑步者)将不同的活动用于不同的活动,才会在地图上显示所有活动很少的道路。

为了开发热图,Strava必须收集,分析并整理大量的数据,这要花大量的时间。然后,公司必须对地图进行重大更新,这意味着意外的额外费用。

就Strava而言,没有黑客或其他罪犯-该公司自己提供了重要信息。甚至没有某种社会工程,因为不涉及欺诈。 Strava只是没有对潜在结果给予足够的关注,这是他们的主要错误-他们没有预料到后果。定期向整个团队和培训人员解释安全和隐私的重要性可能无法完全阻止此事件。但是,如果Strava员工会考虑可能的影响,他们会注意到在地图开发阶段出了点问题。

隐私设置不应令人困惑。用户必须能够轻松快速地进行所有设置。如果隐私设置更加清晰,那么大多数用户将能够阻止其私人数据被发布。

为了保护您的医疗应用程序免受安全错误和故障的影响,您不仅要注意加密和多因素身份验证。从Strava案例中可以看出,非常谨慎地计划更新和新版本也至关重要。

请遵循以下简单规则:定期运行安全测试和人员培训,使用多因素身份验证和加密保护您的应用程序安全,简化隐私设置,并分析所有可能的结果。