Angelsense, компания по вспомогательной технологии, которая предоставляет устройства для мониторинга местоположения для людей с ограниченными возможностями, распространяла личную информацию и точные данные о местоположении своих пользователей в открытый интернет, сообщил TechCrunch.
Компания обеспечила выставленную сервер в понедельник, более чем через неделю после того, как он был предупрежден о утечке данных исследователями в службе безопасности Upruard.
Upruard поделился подробностями об экспозиции исключительно с TechCrunch после того, как Angelsense решил промежуток. Upruard с тех пор опубликовал сообщение в блоге об инциденте.
По данным его мобильных приложений, Angelsense, базирующаяся в Нью-Джерси, предоставляет GPS-трекеры и мониторинг местоположения для тысяч клиентов и рекламируется правоохранительными органами и полицейскими управлениями по всей территории Соединенных Штатов.
По словам исследователей Upruard, Angelsense оставила внутреннюю базу данных, подвергнутую интернету без пароля, что позволило кому -либо получить доступ к данным внутри, используя только веб -браузер и знание общедоступного IP -адреса базы данных. База данных хранила журналы обновления в режиме реального времени из системы Angelsense, которая включала личную информацию клиентов Angelsense, а также технические журналы о системах компании.
Upguard сказал, что нашел личные данные клиентов, такие как имена, почтовые адреса и номера телефонов в расподнятой базе данных. Исследователи заявили, что они также обнаружили, что GPS -координаты контролируют лиц, в том числе связанную медицинскую информацию о отслеживаемом человеке, который включал такие условия, как аутизм и деменция. Исследователи также обнаружили, что адреса электронной почты, пароли и токены аутентификации для доступа к учетным записям клиентов, а также частичную информацию о кредитной карте — все это было видно в открытом виде, сказал Upguard.
Неизвестно, как долго была раскрыта база данных, и сколько клиентов пострадало. Согласно списке базы данных на Shodan, поисковой системе устройств и систем, ориентированных на Интернет, открытая база данных для регистрации Angelsense была впервые обнаружена в Интернете 14 января, хотя, возможно, была обнаружена некоторое время ранее.
Исполнительный директор Angelsense Дорон Сомер подтвердил TechCrunch, что компания сделала выставленную сервер в автономном режиме после первоначального определения первого электронного письма Upruard в качестве спама.
«Только когда Упгард позвонил нам, эта проблема была поднята до нашего внимания», — сказал Сомер. «После его открытия мы быстро выступили, чтобы проверить предоставленную нам информацию и исправить уязвимость».
«Мы отмечаем, что, кроме того, у нас нет информации, предполагающей, что какие -либо данные о системе ведения журнала потенциально были доступны. Мы также не имеем никаких доказательств или указания на то, что данные были неправильно использованы или находятся под угрозой злоупотребления », — сказал Сомеркрчч, заявив, что данные« не являются конфиденциальной личной информацией ».
Сомер не сказал бы, есть ли у компании технические средства, чтобы определить, есть ли какой -либо доступ к незащищенному серверу до обнаружения Upruard.
Когда его спросили, планирует ли компания уведомить пострадавших клиентов и частных лиц, чьи данные были разоблачены, Сомер сказал, что компания все еще расследует.
«Если уведомление регуляторам или лицам оправдано, мы, конечно, предоставим его», — сказал Сомер.
Сомер не ответил на последующий запрос по времени прессы.
Воздействие базы данных часто является результатом неправильных сборов, вызванных человеческими ошибками, а не злонамеренными намерениями, и в последние годы становится все более распространенным явлением. Подобные пробелы безопасности раскрытых баз данных привели к разливам конфиденциальных военных электронных писем США, утечки текстовых сообщений в реальном времени, содержащих двухфакторные коды, и истории чата из чат-ботов ИИ.
