AngelSense, ein Unternehmen für assistive Technologie, das Standortüberwachungsgeräte für Menschen mit Behinderungen anbietet, verschüttete persönlich identifizierbare Informationen und genaue Standortdaten für seine Benutzer für das offene Internet und lernte TechCrunch.
Das Unternehmen garantierte den Server am Montag, mehr als eine Woche, nachdem sie vor den Datenverlust durch Forscher des UPGuard -Sicherheitsunternehmens gewarnt worden waren.
Upguard teilte Details der Ausstellung ausschließlich mit TechCrunch nach, nachdem Angelssens den Verfall gelöst hatte. Upguard hat Seit ich einen Blog -Beitrag gepostet habe In dem Vorfall.
New Jerseys AngelSense bietet GPS -Trackern und Standortüberwachung für Tausende von Kunden. Für Ihre mobile Anwendungsauflistungund wird von Polizei- und Polizeibehörden in den Vereinigten Staaten hingewiesen.
Nach Angaben von Upguard -Forschern hat Angelssense eine interne Datenbank ohne Passwort für das Internet ausgesetzt, sodass jeder auf die Daten zugreifen kann, die nur einen Webbrowser und das Wissen der öffentlichen IP -Adresse der Datenbank verwenden. Die Datenbank speicherte Real -Time -Update -Datensätze eines AngelSense -Systems, das die persönlichen Informationen von AngelSense -Kunden sowie technische Aufzeichnungen über die Systeme des Unternehmens enthielt.
Upguard sagte, es habe personenbezogene Daten von Kunden wie Namen, Postadressen und Telefonnummern in der exponierten Datenbank gefunden. Die Forscher sagten, sie fanden auch GPS -Koordinaten von Personen, die überwacht wurden – einschließlich damit verbundener Gesundheitsinformationen über die verfolgte Person, die Zustände wie Autismus und Demenz umfasste. Die Forscher stellten auch E -Mail -Adressen, Passwörter und Authentifizierungs -Token fest, um auf Kundenkonten zuzugreifen, sowie teilweise Kreditkarteninformationen – alles im einfachen Text sichtbar, sagte Upguard.
Es ist nicht genau bekannt, wie lange die Datenbank freigelegt wurde oder wie viele Kunden betroffen waren. Laut der Datenbankliste in Shodan, einem Suchmaschinen- und Systemforschungsmechanismus, wurde die Angelsense -Registrierungsdatenbank erstmals am 14. Januar online gesehen, obwohl sie möglicherweise einige Zeit zuvor aufgedeckt wurde.
Doron Somer, Geschäftsführer von Angelssense, bestätigte TechCrunch, dass das Unternehmen den exponierten Offline -Server genommen hatte, nachdem er ursprünglich die erste und E -Mail von Upguard als Spam identifiziert hatte.
„Erst als Upguard uns anrief, wurde uns das Problem aufgeworfen“, sagte Somer. „Nach seiner Entdeckung handeln wir umgehend, um die uns zur Verfügung gestellten Informationen zu validieren und Anfälligkeit zu beheben.“
„Wir haben festgestellt, dass wir neben Uppuard keine Informationen haben, die darauf hindeuten, dass Daten zum Registrierungssystem möglicherweise zugegriffen wurden. Wir haben auch keine Beweise oder Hinweise darauf, dass die Daten missbraucht oder aus Missbrauch bedroht wurden „, sagte Somer gegenüber TechCrunch und behauptete, die Daten seien keine sensiblen persönlichen Daten.
Somer würde nicht sagen, ob das Unternehmen über die technischen Mittel verfügt, um festzustellen, ob es vor der Entdeckung von Upguard zu Zugriff auf den ungeschützten Server besteht.
Auf die Frage, ob das Unternehmen die betroffenen Kunden und Einzelpersonen, deren Daten ausgesetzt seien, zu benachrichtigen, sagte Somer, das Unternehmen habe immer noch untersucht.
„Wenn die Warnung an Aufsichtsbehörden oder Menschen gerechtfertigt ist, werden wir sie natürlich zur Verfügung stellen“, sagte Somer.
Somer reagierte nicht auf eine Folgeuntersuchung an die Presse.
Datenbankausstellungen sind häufig das Ergebnis falscher Konfigurationen, die eher durch menschliches Versagen als durch böswillige Absicht verursacht werden, und sind in den letzten Jahren immer häufiger aufgetreten. Ähnliche Sicherheitslücken von exponierten Datenbanken führten zu der Versand von sensiblen militärischen E -Mails von unsDie echte Leckage von Textnachrichten Enthaltende Codes von zwei FaktorenUnd Chat -Geschichten -ai -Chatbots.
