Nutzerdaten, die mit der Kalorienverfolgungsanwendung Cal AI verknüpft sind, wurden online veröffentlicht, nachdem ein Bedrohungsakteur behauptet hatte, den Dienst gehackt und einen umfangreichen Datensatz mit Informationen über seine Nutzer veröffentlicht zu haben.
Die Person hinter dem mutmaßlichen Sicherheitsvorfall veröffentlichte eine Nachricht in einem Cybercrime-Forum und teilte acht Dateien mit etwa 14,59 GB Daten. Der Beitrag behauptete, die Dateien seien von Cal AI stammen, einer auf künstlicher Intelligenz basierenden Kalorienerfassungs-App, die Lebensmittelfotos analysiert, um Nährwertinformationen zu schätzen.
Laut dem Bedrohungsakteur enthält der Datensatz Informationen, die mit mehr als 3 Millionen Nutzern verknüpft sind. Die offengelegten Unterlagen enthalten angeblich E-Mail-Adressen und andere persönliche Daten, die mit Benutzerkonten verbunden sind.
Sicherheitsforscher, die Proben der geleakten Dateien überprüften, sagten, die Informationen scheinen kontobezogene und profilbezogene Daten zu enthalten. Die Unterlagen enthalten Berichten zufolge Angaben wie Gewicht, Körpergröße, Geschlecht und in einigen Fällen Geburtsdaten. Der Datensatz enthält außerdem abonnementbezogene Informationen und Transaktionskennungen, die mit kostenpflichtigen Diensten verbunden sind.
Weitere in den Dateien beschriebene Daten umfassen Benutzerprofilinformationen wie Benutzernamen, vollständige Namen und App-Erfolge. Andere Datensätze enthalten Berichten zufolge Anwendungseinstellungen, Gruppeninformationen und begrenzte Protokolle, die mit der Mahlzeitenverfolgung innerhalb der Plattform verknüpft sind.
Die Forscher sagten, dass der offengelegte Datensatz Millionen von Einträgen über mehrere Tabellen enthält. Zum Beispiel enthält eine Datei Berichten zufolge mehr als 3,5 Millionen Datensätze, die mit Nutzergewichtdaten verknüpft sind, während eine andere mehr als 3 Millionen Einträge mit Abonnement- und E-Mail-Informationen enthält.
Der Bedrohungsakteur behauptete, der Datenverstoß sei aufgrund einer unsachgemäß gesicherten Backend-Datenbank möglich gewesen. Laut dem Beitrag griff der Angreifer auf ein Google Firebase-Backend zu, das angeblich das Lesen bestimmter Datenbanktabellen ohne Authentifizierung ermöglichte.
Der Angreifer erklärte außerdem, dass die Anwendung für die Anmeldung nicht auf traditionelle Passwörter angewiesen sei. Stattdessen verwendet der Dienst Berichten zufolge ein vierstelliges numerisches PIN-System zur Authentifizierung. Der Beitrag behauptete, dass der Login-Endpunkt keine Rate-Limiting- oder CAPTCHA-Schutzmaßnahmen implementiert habe.
Forscher sagten, dass die offengelegten Kontaktinformationen zusammen mit anderen persönlichen Daten es Angreifern ermöglichen könnten, detaillierte Profile von Nutzern zu erstellen und gezielte Social-Engineering-Angriffe durchzuführen.
Die Datenveröffentlichung scheint auch Informationen zu enthalten, die auf jüngere Nutzer zugeschnitten sind. Forscher, die die Stichprobendateien überprüften, berichteten, dass sie Unterlagen einer Person fanden, die 2014 geboren wurde, was Bedenken hinsichtlich des Vorhandenseins von Kinderdaten im Datensatz aufkommen ließ.
Der Datenverstoß wurde vom Unternehmen nicht offiziell bestätigt. Forscher sagten, sie hätten die Entwickler von Cal AI kontaktiert, um um eine Stellungnahme zu den Behauptungen zu bitten, aber zum Zeitpunkt der Berichterstattung keine Antwort erhalten.
Cal AI ist eine fotobasierte Kalorienerfassungs-Anwendung, die durch Influencer-Aktionen und Empfehlungen in sozialen Medien an Popularität gewonnen hat. Der Dienst wurde kürzlich von der Fitnessplattform MyFitnessPal übernommen und wurde mehr als 15 Millionen Mal heruntergeladen.