<div id="post_message_804482">

В облаке Google в открытом доступе был обнаружен сервер Fitify, содержащий 373 тыс. файлов, в том числе 138 тыс. отчетов о прогрессе, сохраненных в виде фото и 3D-сканов фигуры полураздетого владельца фитнес-приложения.<br/>
<br/>
Исследователи из Cybernews <a href="https://cybernews.com/security/fitify-app-data-leak-user-photos-exposed/" target="_blank">предупредили </a>разработчика софта о своей находке, и тот вывел незащищенное хранилище из паблика. Однако оказалось, что в само приложение вшиты ключи, которые тоже открывают доступ к данным пользователей.<br/>
<br/>
В Google Play за Fitify числится более 10 млн загрузок, популярное фитнес-приложение также доступно в Apple App Store. Суммарно на его долю, по оценкам, приходится 25 установок.<br/>
<br/>
Большинство файлов, обнаруженных в открытом хранилище, содержат видео с руководством, персонализированные планы тренировок и аватары из профилей. Фотоотчеты о прогрессе сохранялись лишь в тех случаях, когда пользователь делился ими с ИИ-коучем.<br/>
<br/>
Просмотр слитых в паблик данных также показал, что описание Fitify в магазине Google не соответствует действительности: там утверждается, что все данные при передаче на сервер шифруются.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl3.joxi.net/drive/2025/07/21/0048/3474/3202450/50/bac80ca394.jpg"/><br/>
<br/>
Анализ среды разработки и производственной среды Fitify выявил жестко прописанные секреты, в том числе:<ul><li>Android Client ID;</li>
</ul><ul><li>Google Client ID;</li>
</ul><ul><li>ключи к Google API;</li>
</ul><ul><li>Firebase URL;</li>
</ul><ul><li>Google App ID;</li>
</ul><ul><li>Project ID;</li>
</ul><ul><li>Facebook App ID;</li>
</ul><ul><li>токены Facebook Client;</li>
</ul><ul><li>привязанные к Firebase кастомные домены;</li>
</ul><ul><li>ключи к Algolia API.</li>
</ul><br/>
<a href="https://www.anti-malware.ru/news/2025-07-21-114534/46739" target="_blank">@ Anti-Malware </a>
</div>