taraiok 曰く、

フィットネス関連サービスを提供しているFitMetrixは、パスワードなしで顧客情報を管理するサーバーを運用していた。その結果、数百万のユーザーレコードがネット上に晒されていたことが分かった。同社は心拍数やその他のフィットネスメトリック情報を表示するフィットネス追跡ソフトウェアを開発している企業。今年の初めにスポーツ関連サービスの予約・決済・スタッフ管理・顧客管理などを行う大手企業Mindbodyにより1530万ドルで買収されている（The Tribune、TechCrunch、Hacken.io、slashdot）。

10月5日にこのことを発見したセキュリティ研究者は、FitMetrixの三つのサーバーで顧客データが漏れていることを発見した。どのくらいの期間、サーバーが公開されたのかは不明だが、9月にIoT検索エンジンであるShodanに登録されていたことが判明しているという。発見者であるHacken.ioのサイバーリスク研究担当ディレクターのBob Diachenko氏によると、1億1,350万のデータベースを発見した。

これにより、直接影響を受けるユーザー数は不明。各レコードにすべてにユーザーデータが含まれているわけではないものの、名前、電子メール、誕生日、電話番号、緊急連絡先、身長、体重、靴のサイズなどの情報が部分的に含まれていたとしている。Mindbodyの最高情報セキュリティ責任者Jason Loomisは、木曜日の電子メールで、リスクを認識しており、「この脆弱性を解消するための即時の対策」を講じたと述べている。