Kalori takip uygulaması Cal AI’ye bağlı kullanıcı verileri, bir tehdit aktörünün hizmeti ihlal ettiğini iddia edip kullanıcıları hakkında bilgi içeren büyük bir veri seti yayınlamasının ardından çevrimiçi olarak ifşa edildi.
İddia edilen ihlalın, arkasındaki kişi, bir siber suç forumunda bir mesaj paylaştı ve yaklaşık 14,59GB veri içeren sekiz dosya paylaştı. Gönderi, dosyaların besin bilgilerini tahmin etmek için gıda fotoğraflarını analiz eden yapay zeka tabanlı kalori takip uygulaması Cal AI’den alındığı iddia edildi.
Tehdit aktörüne göre, veri seti 3 milyondan fazla kullanıcıya bağlı bilgiler içeriyor. Ortaya çıkan kayıtların e-posta adresleri ve kullanıcı hesaplarıyla bağlantılı diğer kişisel bilgileri içerdiği iddia ediliyor.
Sızdırılan dosyaların örneklerini inceleyen güvenlik araştırmacıları, bilgilerin hesap ve profille ilgili veriler içerdiğini söyledi. Kayıtların kilo, boy, cinsiyet ve bazı durumlarda doğum tarihleri gibi detayları içerdiği raporlara dayandırıldı. Veri kümesi ayrıca ücretli hizmetlerle ilgili abonelikle ilgili bilgiler ve işlem tanımlayıcılarını da içerir.
Dosyalarda tanımlanan ek veriler arasında kullanıcı profili bilgileri (kullanıcı adları, tam isimler ve uygulama başarıları) yer alır. Diğer kayıtların uygulama ayarları, grup bilgileri ve platform içindeki yemek takibi faaliyetlerine bağlı sınırlı kayıtlar içerdiği bildiriliyor.
Araştırmacılar, maruz kalan veri setinin birden fazla tabloda milyonlarca giriş içerdiğini söyledi. Örneğin, bir dosyanın kullanıcı ağırlık verilerine bağlı 3,5 milyondan fazla kayıt içerdiği, diğerinin ise abonelik ve e-posta bilgileriyle ilgili 3 milyondan fazla kayıt içerdiği bildiriliyor.
Tehdit aktörü, ihlalın, yanlış güvence altına alınmış bir arka uç veritabanı nedeniyle mümkün olduğunu iddia etti. Gönderiye göre, saldırgan, bazı veritabanı tablolarının kimlik doğrulaması olmadan okunmasına izin verdiği iddia edilen bir Google Firebase arka planına erişmiş.
Saldırgan ayrıca uygulamanın giriş için geleneksel şifrelere dayanmadığını belirtti. Bunun yerine, hizmetin kimlik doğrulama için dört haneli sayısal PIN sistemi kullandığı rapor edilmiştir. Gönderi, giriş uç noktasının hız sınırı veya CAPTCHA korumalarını uygulamadığı iddia edildi.
Araştırmacılar, açığa çıkan iletişim bilgilerinin ve diğer kişisel bilgilerin birleşince, saldırganların kullanıcı profillerinin detaylı oluşturulmasına ve hedefli sosyal mühendislik saldırıları gerçekleştirmesine olanak tanıyabileceğini söyledi.
Veri açıklamasında ayrıca genç kullanıcılarla bağlantılı bilgiler de yer alıyor gibi görünüyor. Örnek dosyalarını inceleyen araştırmacılar, 2014 doğumlu bir bireye ait kayıtlar bulduklarını bildirdi ve veri setinde çocukların verilerinin varlığı konusunda endişeler yarattı.
İhlal şirket tarafından resmi olarak doğrulanmadı. Araştırmacılar, Cal AI’nin arkasındaki geliştiricilerle iletişime geçip iddialar hakkında yorum istediklerini, ancak rapor sırasında yanıt alamadıklarını söylediler.
Cal AI, influencer tanıtımları ve sosyal medya destekleri sayesinde popülerlik kazanan fotoğraf tabanlı bir kalori takip uygulamasıdır. Hizmet, yakın zamanda fitness platformu MyFitnessPal tarafından satın alındı ve 15 milyondan fazla kez indirildi.