بيانات الموقع المكشوف من الملائكة والمعلومات الشخصية للمستخدمين المتتبعين
علمت TechCrunch أن شركة Angelsense ، وهي شركة تقنية مساعدة توفر أجهزة مراقبة الموقع للأشخاص ذوي الإعاقة ، تسرب المعلومات الشخصية القابلة للتحديد وبيانات الموقع الدقيقة لمستخدميها إلى الإنترنت المفتوح.
حصلت الشركة على الخادم المكشوف يوم الاثنين ، بعد أكثر من أسبوع من تنبيهه إلى تسرب البيانات من قبل الباحثين في شركة الأمن Upguard.
شاركت Upguard تفاصيل التعرض حصريًا مع TechCrunch بعد حل الملائكة في الفاصل. قام Upguard منذ ذلك الحين بنشر منشور مدونة على الحادث.
يوفر Angelsense ومقره نيو جيرسي أجهزة تتبع GPS ومراقبة الموقع لآلاف العملاء ، وفقًا لإدراج تطبيقات الهاتف المحمول ، ويتم ترويجها من قبل أقسام إنفاذ القانون والشرطة في جميع أنحاء الولايات المتحدة.
وفقًا للباحثين في UpGuard ، تركت Angelsense قاعدة بيانات داخلية معرضة للإنترنت بدون كلمة مرور ، مما يسمح لأي شخص بالوصول إلى البيانات الموجودة بداخلها باستخدام متصفح ويب فقط ومعرفة عنوان IP الخاص بقاعدة البيانات. كانت قاعدة البيانات تخزن سجلات التحديث في الوقت الفعلي من نظام Angelsense ، والتي تضمنت المعلومات الشخصية لعملاء Angelsense ، بالإضافة إلى سجلات فنية حول أنظمة الشركة.
قالت UpGuard إنها وجدت البيانات الشخصية للعملاء ، مثل الأسماء والعناوين البريدية وأرقام الهواتف في قاعدة البيانات المكشوفة. وقال الباحثون إنهم عثروا أيضًا على إحداثيات GPS للأفراد التي يتم مراقبتها – بما في ذلك المعلومات الصحية المرتبطة بها حول الشخص الذي تم تتبعه ، والتي تضمنت شروطًا مثل التوحد والخرف. ووجد الباحثون أيضًا عناوين البريد الإلكتروني وكلمات المرور ورموز المصادقة للوصول إلى حسابات العملاء ، بالإضافة إلى معلومات بطاقة الائتمان الجزئية – وكلها مرئية في النص العادي.
من غير المعروف بالضبط المدة التي تم تعرضها لقاعدة البيانات ولا عدد العملاء الذين تأثروا. وفقًا لإدراج قاعدة البيانات على Shodan ، وهو محرك بحث للأجهزة والأنظمة التي تواجه الإنترنت ، تم رصد قاعدة بيانات التسجيل المكشوفة من Asselsense عبر الإنترنت لأول مرة في 14 يناير ، على الرغم من أنه ربما تم كشفه في وقت سابق.
أكد Doron Somer ، الرئيس التنفيذي لشركة Angelsense ، TechCrunch أن الشركة أخذت الخادم المكشوف في وضع عدم الاتصال في البداية بعد تحديد أول بريد إلكتروني لـ UpGuard كرسائل غير مرغوب فيها.
وقال سومر: “فقط عندما اتصلت بنا عن طريق هاتفيات ، تم رفع القضية لانتباهنا”. “عند اكتشافه ، تصرفنا على الفور للتحقق من صحة المعلومات المقدمة لنا ولعلاج الضعف.”
“نلاحظ أنه بخلاف upguard ، ليس لدينا أي معلومات تشير إلى أنه من المحتمل أن يتم الوصول إلى أي بيانات عن نظام التسجيل. وقال سومر لـ TechCrunch ، مدعيا أن البيانات “لم تكن معلومات شخصية حساسة” ، وليس لدينا أي دليل أو إشارة إلى أن البيانات قد أسيء استخدامها أو تعرضها لتهديد سوء الاستخدام “، مدعيا أن البيانات” لم تكن معلومات شخصية حساسة “.
لن يقول سومر ما إذا كانت الشركة لديها الوسائل الفنية لتحديد ما إذا كان هناك أي وصول إلى الخادم غير المحمي قبل اكتشاف Upguard.
عندما سئل عما إذا كانت الشركة تخطط لإخطار العملاء المتأثرين والأفراد الذين تعرضت بياناتهم ، قال سومر إن الشركة لا تزال تحقق.
وقال سومر: “إذا كان هناك ما يبرر إشعار للمنظمين أو الأشخاص ، فسوف نقدمه بالطبع”.
لم يرد سومر على استفسار المتابعة بحلول وقت الصحافة.
غالبًا ما تكون تعرض قاعدة البيانات نتيجة لسوء التشكيلات الناتجة عن الخطأ البشري ، وليس النية الخبيثة ، وأصبحت حدثًا شائعًا بشكل متزايد في السنوات الأخيرة. أدت الهفوات الأمنية المماثلة لقواعد البيانات المكشوفة إلى انسكاب رسائل البريد الإلكتروني العسكرية الأمريكية الحساسة ، وتسرب الوقت الحقيقي للرسائل النصية التي تحتوي على رموز ثنائية العوامل ، وتاريخ الدردشة من AI chatbots.
اكتشاف المزيد من اشراق اون لاين
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
