I dati degli utenti collegati all’applicazione di monitoraggio delle calorie Cal AI sono stati esposti online dopo che un attore minaccioso ha dichiarato di aver violato il servizio e ha rilasciato un ampio dataset contenente informazioni sui suoi utenti.
L’individuo dietro la presunta violazione ha pubblicato un messaggio su un forum di cybercrimini e ha condiviso otto file contenenti circa 14,59GB di dati. Il post sosteneva che i file provenivano da Cal AI, un’app di monitoraggio delle calorie basata su intelligenza artificiale che analizza foto di cibo per stimare le informazioni nutrizionali.
Secondo l’attore della minaccia, il dataset contiene informazioni legate a oltre 3 milioni di utenti. I documenti esposti includerebbero indirizzi email e altri dati personali collegati agli account utente.
I ricercatori di sicurezza che hanno esaminato i campioni dei file trapelati hanno dichiarato che le informazioni sembrano contenere dati relativi a account e profili. I documenti includono dettagli come peso, altezza, genere e, in alcuni casi, date di nascita. Il dataset contiene anche informazioni relative all’abbonamento e identificatori di transazioni associati ai servizi a pagamento.
Ulteriori dati descritti nei file includono informazioni sui profili utente come nomi utente, nomi completi e risultati dell’app. Altri record contengono impostazioni dell’applicazione, informazioni di gruppo e log limitati legati all’attività di monitoraggio dei pasti all’interno della piattaforma.
I ricercatori hanno detto che il dataset esposto include milioni di voci su più tabelle. Ad esempio, un file contiene più di 3,5 milioni di record collegati a dati sul peso degli utenti, mentre un altro contiene più di 3 milioni di voci con abbonamenti e informazioni email.
L’attore minaccioso ha sostenuto che la violazione fosse possibile a causa di un database backend non protetto correttamente. Secondo il post, l’attaccante ha avuto accesso a un backend di Google Firebase che avrebbe permesso di leggere alcune tabelle del database senza autenticazione.
L’attaccante ha anche affermato che l’applicazione non si basa su password tradizionali per l’accesso. Invece, secondo quanto riportato, il servizio utilizza un sistema PIN numerico a quattro cifre per l’autenticazione. Il post sosteneva che l’endpoint di accesso non implementasse limiti di velocità o protezioni CAPTCHA.
I ricercatori hanno affermato che le informazioni di contatto esposte, unite ad altri dati personali, potrebbero permettere agli aggressori di costruire profili dettagliati degli utenti e condurre attacchi mirati di social engineering.
Il rilascio dei dati sembra includere anche informazioni legate agli utenti più giovani. I ricercatori che hanno esaminato i file campione hanno riferito di aver trovato registri appartenenti a un individuo nato nel 2014, sollevando preoccupazioni sulla presenza di dati sui bambini nel dataset.
La violazione non è stata ufficialmente confermata dall’azienda. I ricercatori hanno detto di aver contattato gli sviluppatori dietro Cal AI per chiedere un commento sulle affermazioni, ma non avevano ricevuto risposta al momento della segnalazione.
Cal AI è un’applicazione per il monitoraggio delle calorie basata su foto che ha guadagnato popolarità grazie a promozioni di influencer e endorsement sui social media. Il servizio è stato recentemente acquisito dalla piattaforma fitness MyFitnessPal ed è stato scaricato più di 15 milioni di volte.