Пришёл за рельефной фигурой — получил шантаж и угрозы. Каждый разговор уже записан и продан

Hello Gym Website Planet Джеремайя Фаулер утечка данных фитнес-клубы США Канада
Пришёл за рельефной фигурой — получил шантаж и угрозы. Каждый разговор уже записан и продан
Hello Gym Website Planet Джеремайя Фаулер утечка данных фитнес-клубы США Канада

Простая утечка в CRM-системе поставила десятки тысяч человек в уязвимое положение.

image

Исследователь в области кибербезопасности Джеремайя Фаулер сообщил о серьёзной утечке данных , связанной с компанией Hello Gym, которая предоставляет телефонные сервисы для фитнес-индустрии в США и Канаде. В открытом доступе оказались более 1,6 миллиона записей разговоров и голосовых сообщений, включая имена, номера телефонов и другие личные данные клиентов. Данные хранились в репозитории без паролей и шифрования, а всего было обнаружено 1 605 345 файлов в формате .mp3, собранных в период с 2020 по 2025 год.

При проверке выборки файлов исследователь услышал упоминания персональной информации, включая контактные данные и причины звонков. Среди них — вопросы оплаты, продления абонементов, уточнения по картам и другие темы, где часто фигурировали чувствительные сведения. Такие записи могут использоваться для целевых атак социальной инженерии и фишинга : злоумышленники способны представиться сотрудниками клуба и выманить у клиента данные банковских карт или навязать фиктивные комиссии. Фаулер также отметил риск применения этих записей для обучения систем, создающих поддельные голоса.

Несколько франчайзи и один представитель корпоративного уровня признали наличие проблемы после уведомления исследователя. Сам он сообщил о находке компании Hello Gym, и доступ к базе был закрыт в течение нескольких часов. Однако остаётся неизвестным, как долго записи находились в свободном доступе и могли быть загружены посторонними.

Hello Gym базируется в Миннесоте и специализируется на коммуникационных и CRM-решениях для спортивных залов. Случившееся ставит вопрос о том, как компании третьей стороны обращаются с персональными данными. В своём отчёте Фаулер подчеркнул, что бизнесу необходимо внедрять базовые практики защиты: использовать шифрование, ограничивать доступ, удалять устаревшие файлы, проводить тестирование на уязвимости и внимательно проверять подрядчиков.

Инцидент затронул посетителей популярных сетей фитнес-клубов. Они должны учитывать вероятность мошеннических звонков и быть осторожными при общении с «сотрудниками», которые запрашивают финансовые данные. Чтобы снизить риск, специалисты советуют всегда перепроверять личность звонящего и не передавать по телефону сведения о банковских картах или другую конфиденциальную информацию.