Фирма GPS-слежения Hapn раскрывает имена тысяч своих клиентов из-за ошибки на сайте, как стало известно TechCrunch.
В конце ноября исследователь безопасности предупредил TechCrunch об именах и принадлежности клиентов — например, названии их рабочего места — которые просочились с одного из серверов Hapn, что видел TechCrunch.
Hapn, ранее известная как Spytec, — это компания по отслеживанию, которая позволяет пользователям удаленно отслеживать в режиме реального времени местоположение устройств слежения с подключением к Интернету, которые могут быть прикреплены к транспортным средствам или другому оборудованию. Компания также продает потребителям GPS-трекеры под своим брендом Spytec, которые для отслеживания используют приложение Hapn. Spytec рекламирует свои GPS-устройства для отслеживания местонахождения ценных вещей и «близких людей». Согласно веб-сайту Hapn утверждает, что отслеживает более 460 000 устройств и включает клиентов в список Fortune 500.
Эта ошибка позволяет любому войти в систему под учетной записью Hapn и просмотреть открытые данные с помощью инструментов разработчика в своем веб-браузере.
Открытые данные содержат информацию о более чем 8600 GPS-трекерах, включая номера IMEI для SIM-карт в каждом трекере, которые однозначно идентифицируют каждое устройство. Представленные данные не включают данные о местоположении, но тысячи записей содержат имена и деловые связи клиентов, которые владеют GPS-трекерами или отслеживаются ими.
Hapn не ответил на несколько писем от TechCrunch. Имена клиентов остаются открытыми на момент написания.
Несколько электронных писем генеральному директору Hapn Джо Бесдину остались без ответа. Сообщение, отправленное на адрес электронной почты, указанный в политике конфиденциальности компании, вернулось с ошибкой возврата, в которой говорилось, что адрес электронной почты не существует. У компании нет веб-страницы или формы для сообщения об уязвимостях безопасности.
Когда мы связались с людьми, чьи имена и принадлежность были указаны в опубликованных данных, несколько человек подтвердили свои имена и места работы, но отказались обсуждать использование ими GPS-трекера. TechCrunch обнаружил, что одна компания, указанная на веб-сайте Hapn в качестве корпоративного клиента, имела несколько трекеров, перечисленных в открытых данных.
Исследователь безопасности сообщил, что они начали изучать GPS-трекер после того, как обнаружили, что клиенты оставляли в Интернете отзывы об устройствах, рекомендуя трекер для наблюдения за супругом или партнером человека. (TechCrunch видел десятки отзывов об интернет-магазинах Spytec от клиентов, которые утверждают, что использовали устройства GPS для отслеживания своих супругов.)
В списке раскрытых записей клиентов также указаны тысячи трекеров со связанными именами, но без какой-либо другой заметной принадлежности. Неизвестно, знают ли люди о том, что за ними следят.
