AngelSense, ein Unternehmen für assistive Technologie, das Geräte zur Überwachung von Standorten für Menschen mit Behinderungen anbietet, hat die persönlich identifizierbaren Informationen und präzise Standortdaten seiner Benutzer in das offene Internet verschüttet, hat Tech erfahren.
Das Unternehmen hat den freiliegenden Server am Montag gesichert, mehr als eine Woche, nachdem es von Forschern des Sicherheitsunternehmens Upper auf das Datenleck aufmerksam wurde.
Upguard teilte Einzelheiten zur Exposition ausschließlich mit Tech nach, nachdem Angelssens den Verfall gelöst hatte. Upguard hat Seit veröffentlicht einen Blog -Beitrag auf den Vorfall.
Der in New Jersey ansässige AngelSense bietet Tausenden von Kunden GPS-Tracker und Standortüberwachung. zu seiner mobilen App -Auflistungund wird von Strafverfolgungs- und Polizeibehörden in den USA angepriesen.
Laut den Forschern von Upguard hat Angelssense eine interne Datenbank ohne Passwort dem Internet ausgesetzt, sodass jeder auf die Daten zugreifen kann, die nur einen Webbrowser und das Wissen der öffentlichen IP -Adresse der Datenbank verwenden. Die Datenbank speicherte Echtzeit-Aktualisierungsprotokolle von einem AngelSense-System, das die persönlichen Informationen von AngelSense-Kunden sowie technische Protokolle über die Systeme des Unternehmens enthielt.
Upguard sagte, dass die persönlichen Daten der Kunden wie Namen, Postadressen und Telefonnummern in der exponierten Datenbank gefunden wurden. Die Forscher sagten, sie fanden auch GPS -Koordinaten von Personen, die überwacht wurden – einschließlich damit verbundener Gesundheitsinformationen über die verfolgte Person, die Zustände wie Autismus und Demenz umfasste. Die Forscher stellten auch E -Mail -Adressen, Passwörter und Authentifizierungs -Token für den Zugriff auf Kundenkonten sowie teilweise Kreditkarteninformationen fest, die alle in Plaintext sichtbar waren, sagte Upguard.
Es ist nicht genau bekannt, wie lange die Datenbank freigelegt wurde oder wie viele Kunden betroffen waren. Laut der Auflistung der Datenbank zu Shodan, einer Suchmaschine aus im Internet ausgerichteten Geräten und Systemen, wurde die exponierte Protokollierungsdatenbank von Angelsesen am 14. Januar erstmals online entdeckt, obwohl sie möglicherweise einige Zeit zuvor ausgesetzt wurde.
Doron Somer, Chief Executive von Angelssen, bestätigte Tech, dass das Unternehmen den exponierten Server offline stellte, nachdem er ursprünglich die erste E -Mail von Upguard als Spam identifiziert hatte.
„Erst als Upper auf uns aufmerksam machte, wurde uns das Problem aufgeworfen“, sagte Somer. „Nach seiner Entdeckung haben wir umgehend gearbeitet, um die uns zur Verfügung gestellten Informationen zu validieren und die Verwundbarkeit zu beheben.“
„Wir stellen fest, dass wir außer Upguard keine Informationen haben, die darauf hindeuten, dass auf Daten zum Protokollierungssystem möglicherweise zugegriffen wurde. Wir haben auch keine Beweise oder Hinweise darauf, dass die Daten missbraucht wurden oder von Missbrauch bedroht sind “, sagte Somer gegenüber Tech und behauptete, die Daten seien„ keine sensiblen persönlichen Informationen “.
Somer würde nicht sagen, ob das Unternehmen über die technischen Mittel verfügt, um festzustellen, ob es vor der Entdeckung von Upguard zu Zugriff auf den ungeschützten Server besteht.
Auf die Frage, ob das Unternehmen die betroffenen Kunden und Einzelpersonen, deren Daten ausgesetzt seien, zu benachrichtigen, sagte Somer, das Unternehmen habe immer noch untersucht.
„Wenn die Aufsichtsbehörden oder Personen bekannt sind, werden wir es natürlich zur Verfügung stellen“, sagte Somer.
Somer antwortete bis zum Zeitpunkt der Presse nicht auf eine Follow-up-Anfrage.
Die Datenbankbelastung sind häufig das Ergebnis von Missverständnissen, die durch menschliche Fehler und nicht durch böswillige Absichten verursacht werden, und sind in den letzten Jahren immer häufiger geworden. Ähnliche Sicherheitslücken von exponierten Datenbanken haben zu einer Verschärfung sensibler US-Militär-E-Mails, dem Echtzeit-Leck von Textnachrichten mit zwei Faktorencodes und Chat-Historien von AI-Chatbots geführt.