Los datos de los usuarios vinculados a la aplicación de seguimiento de calorías Cal AI han sido expuestos en línea después de que un actor malicioso afirmara haber vulnerado el servicio y difundiera un gran conjunto de datos que contenía información sobre sus usuarios.
La persona responsable de la supuesta brecha publicó un mensaje en un foro de ciberdelincuencia y compartió ocho archivos con unos 14,59GB de datos. La publicación afirmaba que los archivos provenían de Cal AI, una aplicación de seguimiento de calorías basada en inteligencia artificial que analiza fotos de alimentos para estimar información nutricional.
Según el actor de la amenaza, el conjunto de datos contiene información vinculada a más de 3 millones de usuarios. Los registros expuestos supuestamente incluyen direcciones de correo electrónico y otros datos personales relacionados con cuentas de usuario.
Investigadores de seguridad que revisaron muestras de los archivos filtrados dijeron que la información parece contener datos relacionados con cuentas y perfiles. Según se informa, los registros incluyen detalles como peso, altura, género y, en algunos casos, fechas de nacimiento. El conjunto de datos también contiene información relacionada con suscripciones e identificadores de transacciones asociados a servicios de pago.
Los datos adicionales descritos en los archivos incluyen información de perfil de usuario como nombres de usuario, nombres completos y logros de la app. Otros registros supuestamente contienen configuraciones de aplicaciones, información de grupo y registros limitados relacionados con la actividad de seguimiento de comidas dentro de la plataforma.
Los investigadores afirmaron que el conjunto de datos expuesto incluye millones de entradas distribuidas en múltiples tablas. Por ejemplo, un archivo contiene más de 3,5 millones de registros vinculados a datos de peso de usuario, mientras que otro contiene más de 3 millones de entradas con información de suscripción y correo electrónico.
El actor amenazante afirmó que la brecha era posible debido a una base de datos backend mal asegurada. Según la publicación, el atacante accedió a un backend de Google Firebase que supuestamente permitía leer ciertas tablas de bases de datos sin autenticación.
El atacante también afirmó que la aplicación no depende de contraseñas tradicionales para iniciar sesión. En su lugar, el servicio supuestamente utiliza un sistema numérico de PIN de cuatro dígitos para la autenticación. La publicación alegaba que el endpoint de inicio de sesión no implementaba limitaciones de velocidad ni protecciones CAPTCHA.
Los investigadores afirmaron que la información de contacto expuesta, combinada con otros datos personales, podría permitir a los atacantes crear perfiles detallados de usuarios y realizar ataques de ingeniería social dirigidos.
La publicación de datos también parece incluir información vinculada a usuarios más jóvenes. Los investigadores que revisaron los archivos de muestra informaron de encontrar registros pertenecientes a una persona nacida en 2014, lo que generó preocupaciones sobre la presencia de datos infantiles en el conjunto de datos.
La brecha no ha sido confirmada oficialmente por la empresa. Los investigadores dijeron que contactaron con los desarrolladores detrás de Cal AI para solicitar comentarios sobre las afirmaciones, pero no habían recibido respuesta en el momento de la notificación.
Cal AI es una aplicación de seguimiento de calorías basada en fotos que ganó popularidad gracias a promociones de influencers y respaldos en redes sociales. El servicio fue adquirido recientemente por la plataforma de fitness MyFitnessPal y ha sido descargado más de 15 millones de veces.