近日外媒报道，国外网络安全研究员Chris Vickery通过搜索引擎Shodan检索到2款健康类APP iFit和Hzone数据库，可直接泄漏用户数据。其中“Hzone”是HIV阳性患者的约会软件，“iFit”是一款健身app。Vickery向网络安全博客DataBreaches.net举报了此事，据DataBreaches.net称，此次泄漏至少从11月末(Hzone)和上周(iFit)开始，截止本周一漏洞已被修复。

尽管涉及人数不算多，但健康类app的数据泄漏十分引人注目，因为它们通常含有更隐私、更敏感的信息。他们还强调，许多健康类app虽然搜集了个人信息，但却并不需要遵守联邦病人隐私法——只要不和被该法律约束的人(如医生)共享信息即可。

Hzone的信息包括姓名、邮箱地址、生日、恋爱状态、孩子数量、性取向、性经历等隐私记录，在这次泄漏中出现了5,000名用户的数据。同时，iFit泄漏了567,000名用户数据。它所收集的信息包括密码、体重、性别、地址、信用卡数据、锻炼数据(如心率、锻炼日期和时间等)。

12月8日，他们联系了Hzone的开发者，但Hzone并未立即对他们的质问做出回应，并且过了五天才修复漏洞。本周三，Hzone的首席执行官Justin Robert表示，泄漏发生于公司升级服务器期间，但他们很快就鉴定出了漏洞，并且立即加强了安全措施，确保服务器和数据库的安全。目前为止，他尚未通知用户，但表示会在网页上挂一个公告。

12月10日，Vickery通过邮件告知了iFit。该公司声称，他所发现的是一年前的测试数据库(但含有真实数据)，并表示他们会撤掉这个数据库。周一，Vickery被告知问题已经解决了。

国内知名互联网安全机构沃通CA的安全专家表示，健康类APP的用户信息在地下黑产交易中非常紧俏，因此黑客会更加卖力地挖掘这类产品的用户的信息。希望所有健康类的APP能够重视用户隐私安全，为APP客户端和服务器实施相应的安全策略，保障用户数据安全。据悉，沃通CA提供的安卓代码签名证书可以为APP进行签名加密，而沃通SSL证书可以为APP客户端和APP服务器之间搭建SSL加密通道，保护数据传输安全，建议APP开放商参考采用。