Un attaccante ancora non identificato ha avuto accesso a 150 milioni di account dell’app MyFitnessPal: i dati a cui ha potuto arrivare sono relativi a nomi, indirizzi email e password (protette comunque da hash), mentre tutto quanto riguarda le carte di credito sarebbe rimasto al sicuro.
A darne notizia è stata Under Armour, che ha acquisito tempo addietro l’app e tutti i suoi clienti: Under Armoura ha anche comunicato di aver avviato un’indagine interna e di stare collaborando con le forze dell’ordine.
Cosa è successo a MyFitnessPal
Secondo quanto comunicato ai clienti e alle autorità, nel corso del mese di febbraio un ignoto soggetto è riuscito a penetrare all’interno dei database di MyFitnessPal. Quello a cui ha avuto accesso è un elenco di nomi e cognomi, abbinati a un indirizzo email e una password – anche se quest’ultima risulta comunque protetta da un meccanismo di hash: ovvero un algoritmo che “nasconde” la vera password facendo sembrare a chi la guarda che sia una sequenza di caratteri casuali.
Nonostante queste premesse, MyFitnessPal ha comunque deciso di informare i suoi clienti di quanto accaduto: a tutti verrà chiesto di sostituire la propria password per poter riaccedere al proprio account, e a tutti viene anche consigliato di verificare di non aver usato la stessa password altrove. La possibilità che le password vengano decodificate, seppur remota, è comunque concreta.
La scoperta della breccia è avvenuta lo scorso 25 marzo: nel corso di 4 giorni MyFitnessPal (e la sua azienda madre, Under Armour) ha condotto un’indagine interna per stabilire la portata di quanto era accaduto e ha informato le autorità. Appurato che le carte di credito non sono state interessate da questa violazione, poiché il processo di acquisizione e archivio di quei dati è separato dal resto, ha poi provveduto anche a informare i clienti e gli utenti del servizio.
In questa fase Under Armour e MyFitnessPal sono impegnate nel proseguire le indagini, anche per valutare eventuali altre attività sospette sulla piattaforma: sono state assoldate società esterne che si occupano di consulenza in materia di sicurezza, e parallelamente ci sono al lavoro i detective delle forze dell’ordine per tutto quanto è prassi in questi casi.