افشای اطلاعات شخصی و موقعیت کاربران توسط AngelSense: نگرانیهای جدید درباره حریم خصوصی
شرکت AngelSense، که در زمینه فناوریهای کمکی فعالیت میکند و دستگاههای نظارت بر مکان برای افراد دارای معلولیت ارائه میدهد، اطلاعات شناسایی شخصی و دادههای مکان دقیق کاربران خود را به اینترنت باز افشا کرده است. این موضوع به تازگی توسط TechCrunch منتشر شده است.
این شرکت در روز دوشنبه، پس از گذشت بیش از یک هفته از هشدار گروه امنیتی UpGuard درباره نشت دادهها، سرور افشا شده را ایمنسازی کرد.
گروه UpGuard جزئیات این افشاگری را به طور انحصاری با TechCrunch به اشتراک گذاشت و پس از اصلاح نواقص توسط AngelSense، این گروه همچنین یک پست وبلاگی درباره این حادثه منتشر کرد.
شرکت AngelSense واقع در نیوجرسی، دستگاههای ردیاب GPS و نظارت بر مکان را به هزاران مشتری ارائه میدهد و توسط پلیس و نیروهای انتظامی در سراسر ایالات متحده مورد تقدیر قرار گرفته است.
طبق اطلاعات محققان UpGuard، AngelSense یک پایگاه داده داخلی را بدون رمز عبور به اینترنت افشا کرده که به هر کسی این امکان را میدهد تا با استفاده از یک مرورگر وب و دانستن آدرس IP عمومی پایگاه داده، به دادههای داخل آن دسترسی پیدا کند. این پایگاه داده، لاگهای بهروزرسانی زمان واقعی از سیستم AngelSense را ذخیره میکرد که شامل اطلاعات شخصی مشتریان AngelSense و همچنین لاگهای فنی درباره سیستمهای شرکت بود.
- دادههای شخصی مشتریان نظیر نام، آدرسهای پستی و شمارههای تلفن در پایگاه داده افشا شده یافت شد.
- محققان همچنین مختصات GPS افرادی که تحت نظارت بودند را پیدا کردند که شامل اطلاعات بهداشتی مرتبط با هر فرد، مانند شرایطی چون اوتیسم و زوال عقل بود.
- آدرسهای ایمیل، رمزهای عبور و توکنهای احراز هویت برای دسترسی به حسابهای مشتریان نیز در دسترس بودند.
- اطلاعات مربوط به کارتهای اعتباری نیز به صورت ناقص و در متن واضح قابل مشاهده بود.
مشخص نیست که این پایگاه داده به چه مدت افشا شده و چند مشتری تحت تأثیر قرار گرفتهاند. بر اساس فهرست پایگاه داده در Shodan، یک موتور جستجوی دستگاهها و سیستمهای متصل به اینترنت، پایگاه داده لاگهای افشاشده AngelSense برای اولین بار در تاریخ 14 ژانویه آنلاین مشاهده شد، هرچند ممکن است این افشاگری قبل از آن نیز اتفاق افتاده باشد.
مدیرعامل AngelSense، Doron Somer، به TechCrunch تأیید کرد که شرکت پس از شناسایی اولیه ایمیل UpGuard به عنوان اسپم، سرور افشا شده را از دسترس خارج کرد. او گفت: “تنها زمانی که UpGuard با ما تماس گرفت، موضوع به توجه ما رسید.”
او افزود: “پس از کشف این موضوع، به سرعت اقدام کردیم تا اطلاعات ارائه شده را تأیید کنیم و آسیبپذیری را برطرف کنیم.”
Somer همچنین بیان کرد که ما هیچ اطلاعاتی به جز UpGuard نداریم که نشان دهد دادههای موجود در سیستم لاگگیری به طور بالقوه در دسترس قرار گرفته است. همچنین هیچ شواهد یا نشانهای مبنی بر اینکه دادهها مورد سوء استفاده قرار گرفته یا تحت تهدید سوء استفاده هستند، وجود ندارد.”
مدیرعامل به این سؤال که آیا شرکت دارای ابزارهای فنی برای تعیین اینکه آیا قبل از کشف UpGuard به سرور غیرمحافظت شده دسترسی پیدا شده یا نه پاسخ نداد.
زمانی که از او پرسیده شد آیا شرکت قصد دارد مشتریان و افراد تحت تأثیر قرار گرفته را مطلع کند، Somer گفت که شرکت هنوز در حال تحقیق است. او ادامه داد: “اگر نیاز به اطلاع به مقامات یا افراد باشد، البته ما این کار را انجام خواهیم داد.”
Somer به سؤالات پیگیری در زمان انتشار پاسخ نداد.
افشاگریهای پایگاه داده معمولاً ناشی از پیکربندیهای نادرست به دلیل خطای انسانی است، نه نیت بد، و در سالهای اخیر به طور فزایندهای رایج شده است. نواقص امنیتی مشابه در پایگاههای داده افشا شده منجر به نشت ایمیلهای حساس نظامی ایالات متحده، نشت زمان واقعی پیامکها حاوی کدهای دو عاملی و تاریخچه چتهای رباتهای چت هوش مصنوعی شده است.
