Gebruikersgegevens gekoppeld aan de calorietracking-applicatie Cal AI zijn online blootgesteld nadat een dreigingsactor beweerde de dienst te hebben gehackt en een grote dataset met informatie over gebruikers had vrijgegeven.
De persoon achter de vermeende inbreuk plaatste een bericht op een cybercrimeforum en deelde acht bestanden met ongeveer 14,59GB aan gegevens. In het bericht werd beweerd dat de bestanden afkomstig waren van Cal AI, een op kunstmatige intelligentie gebaseerde calorie-tracking-app die voedselfoto’s analyseert om voedingsinformatie te schatten.
Volgens de dreigingsactor bevat de dataset informatie die gekoppeld is aan meer dan 3 miljoen gebruikers. De blootgelegde gegevens bevatten naar verluidt e-mailadressen en andere persoonlijke gegevens die aan gebruikersaccounts zijn gekoppeld.
Beveiligingsonderzoekers die voorbeelden van de gelekte bestanden bekeken, zeiden dat de informatie account- en profielgerelateerde gegevens lijkt te bevatten. De gegevens bevatten naar verluidt details zoals gewicht, lengte, geslacht en in sommige gevallen geboortedata. De dataset bevat ook abonnementsgerelateerde informatie en transactie-identificaties die gekoppeld zijn aan betaalde diensten.
Aanvullende gegevens die in de bestanden worden beschreven, omvatten gebruikersprofielinformatie zoals gebruikersnamen, volledige namen en app-achievements. Andere records bevatten naar verluidt applicatieinstellingen, groepsinformatie en beperkte logs die gekoppeld zijn aan maaltijdregistratie binnen het platform.
Onderzoekers zeiden dat de blootgestelde dataset miljoenen vermeldingen bevat verspreid over meerdere tabellen. Zo bevat één bestand naar verluidt meer dan 3,5 miljoen records gekoppeld aan gebruikersgewichtsgegevens, terwijl een ander bestand meer dan 3 miljoen vermeldingen bevat met abonnements- en e-mailinformatie.
De dreigingsactor beweerde dat de inbreuk mogelijk was vanwege een onjuist beveiligde backend-database. Volgens het bericht heeft de aanvaller toegang gehad tot een Google Firebase-backend die naar verluidt bepaalde databasetabellen zonder authenticatie kon lezen.
De aanvaller verklaarde ook dat de applicatie niet afhankelijk is van traditionele wachtwoorden voor het inloggen. In plaats daarvan gebruikt de dienst naar verluidt een viercijferig numeriek pincodesysteem voor authenticatie. Het bericht stelde dat het login-eindpunt geen snelheidsbeperking of CAPTCHA-bescherming had geïmplementeerd.
Onderzoekers zeiden dat de blootgestelde contactinformatie, gecombineerd met andere persoonlijke gegevens, aanvallers in staat zou kunnen stellen gedetailleerde profielen van gebruikers op te bouwen en gerichte social engineering-aanvallen uit te voeren.
De gegevensvrijgave lijkt ook informatie te bevatten die aan jongere gebruikers is gekoppeld. Onderzoekers die de steekproefbestanden bekeken, meldden dat ze gegevens vonden die toebehoorden aan een persoon die in 2014 is geboren, wat zorgen opriep over de aanwezigheid van kindergegevens in de dataset.
De inbreuk is niet officieel bevestigd door het bedrijf. Onderzoekers zeiden dat ze contact hadden opgenomen met de ontwikkelaars achter Cal AI om commentaar te vragen op de beweringen, maar op het moment van de rapportage nog geen reactie hadden ontvangen.
Cal AI is een fotogebaseerde calorie-trackingapplicatie die populair werd door influencerpromoties en aanbevelingen op sociale media. De dienst is onlangs overgenomen door fitnessplatform MyFitnessPal en is meer dan 15 miljoen keer gedownload.