Disciplines Blog

Wellness Apps Promised Privacy. The Data Says Otherwise.

2026-04-02T00:00:00.000Z

Most wellness apps ask for your most personal data: what you eat, how much you weigh, when you sleep, how you feel. But what happens when that data ends up somewhere it shouldn't?

This is not a hypothetical question. It has already happened, repeatedly, to some of the biggest names in health and fitness.

150 Million MyFitnessPal Accounts Breached

In February 2018, an unauthorized party breached MyFitnessPal's servers and stole data from approximately 150 million user accounts, including usernames, email addresses, and passwords. Under Armour, the app's parent company at the time, disclosed the breach a month later. It remains one of the largest data breaches in the health and fitness industry.

The root cause was simple: all that user data was stored on centralized servers. One vulnerability was all it took.

Source: CNBC, March 2018

61 Million Fitness Tracker Records Left Exposed

In September 2021, security researchers discovered that GetHealth, a third-party platform that aggregates data from wearable devices, had left an entire database completely unsecured. No password. No encryption. Just 61 million records from users of Fitbit, Apple Health, Strava, and Google Fit sitting in plain text, including names, birthdates, weight, height, and geographic location.

Users never signed up for GetHealth directly. Their data was pulled through integrations they may not have even known existed.

Source: TechTarget, September 2021

Noom Shared Health Data with Third Parties

Noom, the popular weight loss and nutrition app, was found by Privacy International to be sharing sensitive health data including height, weight, health conditions, and dietary information with companies like Braze, FullStory, and Mixpanel. Class action lawsuits alleged that Noom embedded session replay code that recorded user interactions on the app. When you entered your weight or logged a meal, that data was not just going to Noom.

Source: Privacy International

Flo Health Shared Period Data with Facebook

Flo Health, one of the most popular period and fertility tracking apps with over 100 million users, promised that intimate health data would remain private. Instead, the app shared menstrual cycle dates, pregnancy status, and symptoms with Facebook, Google, and other advertising firms without user consent. The FTC filed a formal complaint, and the case resulted in a $56 million settlement.

This was not a hack. The company chose to share the data. Users had no idea.

Source: FTC, January 2021

BetterHelp Sent Mental Health Data to Facebook and Snapchat

BetterHelp, the online therapy platform with nearly 8 million users, shared sensitive mental health data with Facebook, Snapchat, and Pinterest for targeted advertising. This included email addresses, IP addresses, and answers to personal health intake questionnaires. The company had promised users their data would stay private. The FTC ordered BetterHelp to pay $7.8 million in refunds.

If a therapy app cannot keep your data private, the problem is not the policy. It is the architecture.

Source: FTC, March 2023

The Pattern Is Clear

Every one of these incidents shares a common thread: user data was stored on servers, processed in the cloud, or shared with third parties. The moment personal data leaves your device, you lose control over it. No privacy policy, no encryption promise, and no terms of service can guarantee that a server won't be breached, a database won't be misconfigured, or a company won't quietly monetize your information.

The Only Way to Prevent This

The safest data is data that never leaves your device.

That is the principle behind Disciplines. There are no servers to breach, no databases to expose, and no third parties to share with. Your wellness data is processed and stored entirely on your iPhone. We cannot see it. We cannot access it. It does not exist anywhere except on your device.

Privacy is not a feature we added. It is our foundation.

If you have been trusting your wellness data to apps that store it in the cloud, it may be worth asking: do they need to?

Wellness-apps beloofden privacy. De feiten zeggen anders.

2026-04-02T00:00:00.000Z

De meeste wellness-apps vragen om je meest persoonlijke gegevens: wat je eet, hoeveel je weegt, wanneer je slaapt, hoe je je voelt. Maar wat gebeurt er als die gegevens terechtkomen waar ze niet horen?

Dit is geen hypothetische vraag. Het is al meerdere keren gebeurd, bij enkele van de grootste namen in gezondheid en fitness.

150 miljoen MyFitnessPal-accounts gehackt

In februari 2018 drong een onbevoegde partij de servers van MyFitnessPal binnen en stal gegevens van ongeveer 150 miljoen gebruikersaccounts, waaronder gebruikersnamen, e-mailadressen en wachtwoorden. Under Armour, destijds het moederbedrijf van de app, maakte het lek een maand later bekend. Het blijft een van de grootste datalekken in de gezondheids- en fitnessindustrie.

De oorzaak was simpel: al die gebruikersgegevens stonden op gecentraliseerde servers. Eén kwetsbaarheid was genoeg.

Bron: CNBC, maart 2018

61 miljoen fitnesstracker-gegevens openbaar achtergelaten

In september 2021 ontdekten beveiligingsonderzoekers dat GetHealth, een extern platform dat gegevens van draagbare apparaten verzamelt, een complete database onbeveiligd had achtergelaten. Geen wachtwoord. Geen versleuteling. Gewoon 61 miljoen records van gebruikers van Fitbit, Apple Health, Strava en Google Fit in platte tekst, inclusief namen, geboortedata, gewicht, lengte en geografische locatie.

Gebruikers hadden zich nooit rechtstreeks bij GetHealth aangemeld. Hun gegevens werden opgehaald via integraties waarvan ze misschien niet eens wisten dat ze bestonden.

Bron: TechTarget, september 2021

Noom deelde gezondheidsdata met derden

Noom, de populaire afval- en voedings-app, werd door Privacy International betrapt op het delen van gevoelige gezondheidsgegevens zoals lengte, gewicht, medische aandoeningen en voedingsinformatie met bedrijven als Braze, FullStory en Mixpanel. Collectieve rechtszaken beweerden dat Noom sessieopnamecode had ingebouwd die gebruikersinteracties vastlegde. Wanneer je je gewicht invoerde of een maaltijd registreerde, gingen die gegevens niet alleen naar Noom.

Bron: Privacy International

Flo Health deelde menstruatiegegevens met Facebook

Flo Health, een van de populairste cyclus-tracking-apps met meer dan 100 miljoen gebruikers, beloofde dat intieme gezondheidsgegevens privé zouden blijven. In plaats daarvan deelde de app menstruatiedata, zwangerschapsstatus en symptomen met Facebook, Google en andere advertentiebedrijven zonder toestemming van de gebruikers. De FTC diende een formele klacht in, en de zaak resulteerde in een schikking van 56 miljoen dollar.

Dit was geen hack. Het bedrijf koos ervoor de gegevens te delen. Gebruikers hadden geen idee.

Bron: FTC, januari 2021

BetterHelp stuurde mentale gezondheidsdata naar Facebook en Snapchat

BetterHelp, het online therapieplatform met bijna 8 miljoen gebruikers, deelde gevoelige mentale gezondheidsgegevens met Facebook, Snapchat en Pinterest voor gerichte advertenties. Dit omvatte e-mailadressen, IP-adressen en antwoorden op persoonlijke gezondheidsvragenlijsten. Het bedrijf had beloofd dat de gegevens privé zouden blijven. De FTC beval BetterHelp 7,8 miljoen dollar aan terugbetalingen te doen.

Als een therapie-app je gegevens niet privé kan houden, is het probleem niet het beleid. Het is de architectuur.

Bron: FTC, maart 2023

Het patroon is duidelijk

Al deze incidenten delen een gemeenschappelijke draad: gebruikersgegevens werden opgeslagen op servers, verwerkt in de cloud of gedeeld met derden. Zodra je persoonlijke gegevens je apparaat verlaten, verlies je de controle. Geen privacybeleid, geen versleutelingsbelofte en geen gebruiksvoorwaarden kunnen garanderen dat een server niet gehackt wordt, dat een database niet verkeerd geconfigureerd wordt, of dat een bedrijf je informatie niet stilletjes te gelde maakt.

De enige manier om dit te voorkomen

De veiligste gegevens zijn gegevens die nooit je apparaat verlaten.

Dat is het principe achter Disciplines. Er zijn geen servers om te hacken, geen databases om bloot te stellen en geen derden om mee te delen. Je wellnessgegevens worden volledig op je iPhone verwerkt en opgeslagen. Wij kunnen ze niet zien. Wij kunnen er niet bij. Ze bestaan nergens anders dan op jouw apparaat.

Privacy is geen functie die we hebben toegevoegd. Het is onze basis.

Als je je gezondheidsgegevens hebt toevertrouwd aan apps die ze in de cloud opslaan, is het misschien de moeite waard om je af te vragen: is dat echt nodig?

Les applis bien-être promettaient la confidentialité. Les faits disent le contraire.

2026-04-02T00:00:00.000Z

La plupart des applis bien-être te demandent tes données les plus personnelles : ce que tu manges, combien tu pèses, quand tu dors, comment tu te sens. Mais que se passe-t-il quand ces données finissent là où elles ne devraient pas ?

Ce n'est pas une question hypothétique. C'est déjà arrivé, à plusieurs reprises, chez les plus grands noms de la santé et du fitness.

150 millions de comptes MyFitnessPal piratés

En février 2018, un tiers non autorisé a piraté les serveurs de MyFitnessPal et volé les données d'environ 150 millions de comptes utilisateurs, incluant noms d'utilisateur, adresses e-mail et mots de passe. Under Armour, la maison mère de l'appli à l'époque, a divulgué la fuite un mois plus tard. Cela reste l'une des plus grandes fuites de données dans l'industrie de la santé et du fitness.

La cause était simple : toutes ces données étaient stockées sur des serveurs centralisés. Une seule vulnérabilité a suffi.

Source : CNBC, mars 2018

61 millions de données de trackers fitness exposées

En septembre 2021, des chercheurs en sécurité ont découvert que GetHealth, une plateforme tierce qui agrège les données d'objets connectés, avait laissé une base de données entière sans aucune protection. Pas de mot de passe. Pas de chiffrement. Juste 61 millions d'enregistrements d'utilisateurs de Fitbit, Apple Health, Strava et Google Fit en clair, incluant noms, dates de naissance, poids, taille et localisation géographique.

Les utilisateurs ne s'étaient jamais inscrits directement chez GetHealth. Leurs données avaient été récupérées via des intégrations dont ils ignoraient peut-être l'existence.

Source : TechTarget, septembre 2021

Noom a partagé des données de santé avec des tiers

Noom, l'appli populaire de perte de poids et de nutrition, a été épinglée par Privacy International pour avoir partagé des données de santé sensibles incluant taille, poids, conditions médicales et informations alimentaires avec des entreprises comme Braze, FullStory et Mixpanel. Des recours collectifs ont allégué que Noom avait intégré du code d'enregistrement de session qui capturait les interactions des utilisateurs. Quand tu entrais ton poids ou enregistrais un repas, ces données n'allaient pas qu'à Noom.

Source : Privacy International

Flo Health a partagé des données menstruelles avec Facebook

Flo Health, l'une des applis de suivi de cycle les plus populaires avec plus de 100 millions d'utilisatrices, promettait que les données intimes de santé resteraient privées. Au lieu de cela, l'appli a partagé les dates de cycle, le statut de grossesse et les symptômes avec Facebook, Google et d'autres entreprises publicitaires sans le consentement des utilisatrices. La FTC a déposé une plainte formelle, et l'affaire s'est soldée par un règlement de 56 millions de dollars.

Ce n'était pas un piratage. L'entreprise a choisi de partager les données. Les utilisatrices n'en savaient rien.

Source : FTC, janvier 2021

BetterHelp a envoyé des données de santé mentale à Facebook et Snapchat

BetterHelp, la plateforme de thérapie en ligne comptant près de 8 millions d'utilisateurs, a partagé des données sensibles de santé mentale avec Facebook, Snapchat et Pinterest à des fins de publicité ciblée. Cela incluait des adresses e-mail, des adresses IP et des réponses aux questionnaires d'évaluation de santé. L'entreprise avait promis que les données resteraient privées. La FTC a ordonné à BetterHelp de rembourser 7,8 millions de dollars.

Si une appli de thérapie ne peut pas garder tes données privées, le problème n'est pas la politique de confidentialité. C'est l'architecture.

Source : FTC, mars 2023

Le schéma est clair

Tous ces incidents partagent un point commun : les données des utilisateurs étaient stockées sur des serveurs, traitées dans le cloud ou partagées avec des tiers. Dès que tes données quittent ton appareil, tu en perds le contrôle. Aucune politique de confidentialité, aucune promesse de chiffrement et aucune condition d'utilisation ne peut garantir qu'un serveur ne sera pas piraté, qu'une base de données ne sera pas mal configurée, ou qu'une entreprise ne monétisera pas discrètement tes informations.

La seule façon d'empêcher ça

Les données les plus sûres sont celles qui ne quittent jamais ton appareil.

C'est le principe derrière Disciplines. Il n'y a pas de serveurs à pirater, pas de bases de données à exposer et pas de tiers avec qui partager. Tes données bien-être sont traitées et stockées entièrement sur ton iPhone. Nous ne pouvons pas les voir. Nous ne pouvons pas y accéder. Elles n'existent nulle part ailleurs que sur ton appareil.

La confidentialité n'est pas une fonctionnalité qu'on a ajoutée. C'est notre fondation.

Si tu as confié tes données de santé à des applis qui les stockent dans le cloud, ça vaut peut-être le coup de se demander : en ont-elles vraiment besoin ?

Las apps de bienestar prometieron privacidad. Los datos dicen lo contrario.

2026-04-02T00:00:00.000Z

La mayoría de las apps de bienestar te piden tus datos más personales: qué comes, cuánto pesas, cuándo duermes, cómo te sientes. Pero, ¿qué pasa cuando esos datos terminan donde no deberían?

Esta no es una pregunta hipotética. Ya ha ocurrido, repetidamente, con algunos de los nombres más grandes en salud y fitness.

150 millones de cuentas de MyFitnessPal hackeadas

En febrero de 2018, un tercero no autorizado vulneró los servidores de MyFitnessPal y robó datos de aproximadamente 150 millones de cuentas de usuarios, incluyendo nombres de usuario, direcciones de correo electrónico y contraseñas. Under Armour, la empresa matriz en ese momento, reveló la filtración un mes después. Sigue siendo una de las mayores filtraciones de datos en la industria de la salud y el fitness.

La causa fue simple: todos esos datos estaban almacenados en servidores centralizados. Una sola vulnerabilidad fue suficiente.

Fuente: CNBC, marzo 2018

61 millones de registros de trackers fitness expuestos

En septiembre de 2021, investigadores de seguridad descubrieron que GetHealth, una plataforma de terceros que agrega datos de dispositivos portátiles, había dejado una base de datos completamente desprotegida. Sin contraseña. Sin cifrado. Solo 61 millones de registros de usuarios de Fitbit, Apple Health, Strava y Google Fit en texto plano, incluyendo nombres, fechas de nacimiento, peso, altura y ubicación geográfica.

Los usuarios nunca se registraron directamente en GetHealth. Sus datos fueron extraídos a través de integraciones que quizás ni sabían que existían.

Fuente: TechTarget, septiembre 2021

Noom compartió datos de salud con terceros

Noom, la popular app de pérdida de peso y nutrición, fue señalada por Privacy International por compartir datos sensibles de salud como altura, peso, condiciones médicas e información dietética con empresas como Braze, FullStory y Mixpanel. Demandas colectivas alegaron que Noom había integrado código de grabación de sesiones que registraba las interacciones de los usuarios. Cuando introducías tu peso o registrabas una comida, esos datos no solo iban a Noom.

Fuente: Privacy International

Flo Health compartió datos menstruales con Facebook

Flo Health, una de las apps de seguimiento de ciclo más populares con más de 100 millones de usuarias, prometió que los datos íntimos de salud se mantendrían privados. En su lugar, la app compartió fechas del ciclo menstrual, estado de embarazo y síntomas con Facebook, Google y otras empresas publicitarias sin el consentimiento de las usuarias. La FTC presentó una queja formal, y el caso resultó en un acuerdo de 56 millones de dólares.

Esto no fue un hackeo. La empresa eligió compartir los datos. Las usuarias no tenían idea.

Fuente: FTC, enero 2021

BetterHelp envió datos de salud mental a Facebook y Snapchat

BetterHelp, la plataforma de terapia online con casi 8 millones de usuarios, compartió datos sensibles de salud mental con Facebook, Snapchat y Pinterest para publicidad dirigida. Esto incluía direcciones de correo electrónico, direcciones IP y respuestas a cuestionarios de evaluación de salud. La empresa había prometido que los datos se mantendrían privados. La FTC ordenó a BetterHelp pagar 7,8 millones de dólares en reembolsos.

Si una app de terapia no puede mantener tus datos privados, el problema no es la política de privacidad. Es la arquitectura.

Fuente: FTC, marzo 2023

El patrón es claro

Todos estos incidentes comparten un hilo común: los datos de los usuarios estaban almacenados en servidores, procesados en la nube o compartidos con terceros. En el momento en que tus datos salen de tu dispositivo, pierdes el control. Ninguna política de privacidad, ninguna promesa de cifrado y ningún término de servicio puede garantizar que un servidor no será vulnerado, que una base de datos no estará mal configurada, o que una empresa no monetizará discretamente tu información.

La única forma de evitarlo

Los datos más seguros son los que nunca salen de tu dispositivo.

Ese es el principio detrás de Disciplines. No hay servidores que hackear, ni bases de datos que exponer, ni terceros con quienes compartir. Tus datos de bienestar se procesan y almacenan completamente en tu iPhone. No podemos verlos. No podemos acceder a ellos. No existen en ningún otro lugar que no sea tu dispositivo.

La privacidad no es una función que añadimos. Es nuestra base.

Si has estado confiando tus datos de salud a apps que los almacenan en la nube, quizás valga la pena preguntarse: ¿realmente lo necesitan?

Wellness-Apps versprachen Datenschutz. Die Fakten sagen etwas anderes.

2026-04-02T00:00:00.000Z

Die meisten Wellness-Apps verlangen deine persönlichsten Daten: was du isst, wie viel du wiegst, wann du schläfst, wie du dich fühlst. Aber was passiert, wenn diese Daten dort landen, wo sie nicht hingehören?

Das ist keine hypothetische Frage. Es ist bereits passiert, wiederholt, bei einigen der größten Namen in Gesundheit und Fitness.

150 Millionen MyFitnessPal-Konten gehackt

Im Februar 2018 drangen Unbefugte in die Server von MyFitnessPal ein und stahlen Daten von etwa 150 Millionen Benutzerkonten, darunter Benutzernamen, E-Mail-Adressen und Passwörter. Under Armour, damals das Mutterunternehmen der App, gab den Vorfall einen Monat später bekannt. Es bleibt einer der größten Datenlecks in der Gesundheits- und Fitnessbranche.

Die Ursache war einfach: All diese Benutzerdaten lagen auf zentralisierten Servern. Eine einzige Schwachstelle reichte aus.

Quelle: CNBC, März 2018

61 Millionen Fitnesstracker-Datensätze ungeschützt zugänglich

Im September 2021 entdeckten Sicherheitsforscher, dass GetHealth, eine Drittanbieter-Plattform, die Daten von tragbaren Geräten sammelt, eine gesamte Datenbank völlig ungesichert gelassen hatte. Kein Passwort. Keine Verschlüsselung. Einfach 61 Millionen Datensätze von Nutzern von Fitbit, Apple Health, Strava und Google Fit im Klartext, einschließlich Namen, Geburtsdaten, Gewicht, Größe und geografischer Standort.

Die Nutzer hatten sich nie direkt bei GetHealth angemeldet. Ihre Daten wurden über Integrationen abgerufen, von denen sie vielleicht nicht einmal wussten, dass sie existierten.

Quelle: TechTarget, September 2021

Noom teilte Gesundheitsdaten mit Dritten

Noom, die beliebte Abnehm- und Ernährungs-App, wurde von Privacy International dabei ertappt, sensible Gesundheitsdaten wie Größe, Gewicht, gesundheitliche Beschwerden und Ernährungsinformationen mit Unternehmen wie Braze, FullStory und Mixpanel zu teilen. In Sammelklagen wurde behauptet, Noom habe Session-Replay-Code eingebaut, der Benutzerinteraktionen aufzeichnete. Wenn du dein Gewicht eingegeben oder eine Mahlzeit erfasst hast, gingen diese Daten nicht nur an Noom.

Quelle: Privacy International

Flo Health teilte Menstruationsdaten mit Facebook

Flo Health, eine der beliebtesten Zyklus-Tracking-Apps mit über 100 Millionen Nutzerinnen, versprach, dass intime Gesundheitsdaten privat bleiben würden. Stattdessen teilte die App Menstruationsdaten, Schwangerschaftsstatus und Symptome mit Facebook, Google und anderen Werbefirmen ohne Zustimmung der Nutzerinnen. Die FTC reichte eine formelle Beschwerde ein, und der Fall endete mit einem Vergleich über 56 Millionen Dollar.

Das war kein Hack. Das Unternehmen hat sich entschieden, die Daten zu teilen. Die Nutzerinnen hatten keine Ahnung.

Quelle: FTC, Januar 2021

BetterHelp schickte psychische Gesundheitsdaten an Facebook und Snapchat

BetterHelp, die Online-Therapie-Plattform mit fast 8 Millionen Nutzern, teilte sensible psychische Gesundheitsdaten mit Facebook, Snapchat und Pinterest für gezielte Werbung. Dazu gehörten E-Mail-Adressen, IP-Adressen und Antworten auf persönliche Gesundheitsfragebögen. Das Unternehmen hatte versprochen, dass die Daten privat bleiben würden. Die FTC ordnete an, dass BetterHelp 7,8 Millionen Dollar an Rückerstattungen zahlen muss.

Wenn eine Therapie-App deine Daten nicht privat halten kann, liegt das Problem nicht an den Datenschutzrichtlinien. Es liegt an der Architektur.

Quelle: FTC, März 2023

Das Muster ist eindeutig

All diese Vorfälle haben einen gemeinsamen Nenner: Benutzerdaten wurden auf Servern gespeichert, in der Cloud verarbeitet oder mit Dritten geteilt. In dem Moment, in dem deine persönlichen Daten dein Gerät verlassen, verlierst du die Kontrolle. Keine Datenschutzerklärung, kein Verschlüsselungsversprechen und keine Nutzungsbedingungen können garantieren, dass ein Server nicht gehackt wird, eine Datenbank nicht falsch konfiguriert wird oder ein Unternehmen deine Informationen nicht stillschweigend zu Geld macht.

Der einzige Weg, das zu verhindern

Die sichersten Daten sind Daten, die dein Gerät nie verlassen.

Das ist das Prinzip hinter Disciplines. Es gibt keine Server, die gehackt werden können, keine Datenbanken, die offengelegt werden können, und keine Dritten, mit denen geteilt wird. Deine Wellness-Daten werden vollständig auf deinem iPhone verarbeitet und gespeichert. Wir können sie nicht sehen. Wir können nicht darauf zugreifen. Sie existieren nirgendwo anders als auf deinem Gerät.

Datenschutz ist keine Funktion, die wir hinzugefügt haben. Er ist unser Fundament.

Wenn du deine Gesundheitsdaten Apps anvertraut hast, die sie in der Cloud speichern, lohnt es sich vielleicht zu fragen: Muss das wirklich sein?