Angelsense, sebuah perusahaan teknologi bantuan yang menyediakan perangkat pemantauan lokasi untuk para penyandang cacat, menumpahkan informasi identifikasi pribadi dan data lokasi yang tepat dari para penggunanya ke internet terbuka, telah mempelajari TechCrunch.
Perusahaan mengatakan server yang diatur pada hari Senin, lebih dari seminggu setelah peneliti perusahaan keamanan Upguard memperingatkan kebocoran data.
Upguard berbagi rincian pameran secara eksklusif dengan TechCrunch setelah AngelSense menyelesaikan periode. Upguard memiliki Sejak menerbitkan posting blog Dalam insiden itu.
Angelsense, yang berbasis di New Jersey, menyediakan pelacak GPS dan pemantauan lokasi untuk ribuan pelanggan, menurut ke daftar aplikasi seluler Andadan dipromosikan oleh departemen polisi dan kepolisian di seluruh Amerika Serikat.
Menurut peneliti UpGuard, AngelSense meninggalkan database internal yang terpapar ke Internet tanpa kata sandi, yang memungkinkan siapa pun untuk mengakses data di dalam hanya menggunakan browser web dan pengetahuan tentang alamat IP publik dari database. Basis data yang disimpan catatan pembaruan real -time dari sistem AngelSense, yang mencakup informasi pribadi pelanggan Angelsense, serta catatan teknis pada sistem perusahaan.
Upguard mengatakan dia menemukan data pribadi pelanggan, seperti nama, alamat pos, dan nomor telepon dalam database yang terbuka. Para peneliti mengatakan mereka juga menemukan koordinat dokter dari individu yang dipantau, termasuk informasi kesehatan terkait tentang orang yang dilacak, yang mencakup kondisi seperti autisme dan demensia. Para peneliti juga menemukan alamat email, kata sandi, dan token otentikasi untuk mengakses akun pelanggan, serta informasi kartu kredit parsial, yang semuanya terlihat dalam teks tanpa format, kata Upguard.
Tidak diketahui persis berapa lama database diekspos atau berapa banyak klien yang terpengaruh. Menurut daftar database Shodan, perangkat pencari perangkat dan sistem yang berorientasi internet, database pendaftaran yang terbuka Angelsense pertama kali terlihat online pada 14 Januari, meskipun beberapa mungkin telah diekspos waktu sebelumnya.
Presiden eksekutif Angelsense, Doron Somer, mengkonfirmasi kepada TechCrunch bahwa perusahaan mengambil server yang terbuka keluar dari barisan setelah awalnya mengidentifikasi email Upguard pertama sebagai spam.
“Hanya ketika Upguard menelepon kami di telepon itulah masalahnya menarik perhatian kami,” kata Somer. “Setelah penemuannya, kami segera bertindak untuk memvalidasi informasi yang memberi kami dan memperbaiki kerentanan.”
“Kami mengamati bahwa, selain dari Upguard, kami tidak memiliki informasi yang menunjukkan bahwa data pada sistem pendaftaran berpotensi diakses. Kami juga tidak memiliki bukti atau indikasi bahwa data telah disalahgunakan atau diancam dengan penyalahgunaan, “kata Somer kepada TechCrunch, mengklaim bahwa data” bukan informasi pribadi yang rahasia. ”
Somer tidak akan mengatakan jika perusahaan memiliki sarana teknis untuk menentukan apakah ada akses ke server yang tidak dilindungi sebelum penemuan upguard.
Ketika ditanya apakah perusahaan berencana untuk memberi tahu klien dan individu yang terkena dampak yang datanya diekspos, Somer mengatakan perusahaan itu masih menyelidiki.
“Jika pemberitahuan dibenarkan kepada regulator atau orang, tentu saja, kami akan menyediakannya,” kata Somer.
Somer tidak menanggapi konsultasi tindak lanjut pada saat publikasi.
Pameran untuk basis data sering kali merupakan hasil dari konfigurasi yang salah yang disebabkan oleh kesalahan manusia, alih -alih niat jahat, dan telah menjadi kejadian yang semakin umum dalam beberapa tahun terakhir. Bentuk keamanan yang serupa dari database yang terbuka telah menghasilkan Email militer sensitif tumpah di Amerika SerikatPenyaringan pesan teks waktu nyata mengandung dua faktorDan AI Chatbots Chat Stories.
