AngelSense, một công ty công nghệ hỗ trợ cung cấp thiết bị giám sát vị trí cho người khuyết tật, đã tiết lộ thông tin cá nhân xác định được và dữ liệu vị trí chính xác của người dùng cho internet công cộng, theo thông tin mà TechCrunch đã tìm hiểu được.
Công ty đã bảo mật máy chủ bị tiết lộ vào thứ Hai, hơn một tuần sau khi các nhà nghiên cứu tại công ty bảo mật UpGuard nhắc nhở về sự rò rỉ dữ liệu này.
UpGuard chia sẻ chi tiết về việc tiết lộ này độc quyền với TechCrunch sau khi AngelSense giải quyết sự cố. UpGuard sau đó đã đăng bài đăng trên blog về sự cố này.
Theo các nhà nghiên cứu của UpGuard, AngelSense đã để lại một cơ sở dữ liệu nội bộ bị tiết lộ cho internet mà không có mật khẩu, cho phép bất kỳ ai truy cập vào dữ liệu bên trong chỉ cần sử dụng trình duyệt web và biết địa chỉ IP công cộng của cơ sở dữ liệu. Cơ sở dữ liệu lưu trữ các nhật ký cập nhật theo thời gian thực từ hệ thống AngelSense, bao gồm thông tin cá nhân của khách hàng AngelSense, cũng như các nhật ký kỹ thuật về hệ thống của công ty.
UpGuard cho biết họ đã tìm thấy dữ liệu cá nhân của khách hàng, như tên, địa chỉ bưu điện và số điện thoại trong cơ sở dữ liệu bị tiết lộ. Các nhà nghiên cứu cũng nói họ đã tìm thấy các tọa độ GPS của những người đang được giám sát - bao gồm thông tin sức khỏe liên quan về người được theo dõi, bao gồm các điều kiện như tự kỷ và loạn trí. Các nhà nghiên cứu cũng tìm thấy địa chỉ email, mật khẩu và mã thông báo xác thực để truy cập vào tài khoản khách hàng, cũng như thông tin chi tiết về thẻ tín dụng - tất cả đều hiển thị dưới dạng văn bản thô, UpGuard nói.
Chưa biết chính xác cơ sở dữ liệu đã bị tiết lộ trong thời gian bao lâu và có bao nhiêu khách hàng bị ảnh hưởng. Theo mục danh sách cơ sở dữ liệu trên Shodan, một công cụ tìm kiếm các thiết bị và hệ thống trực tuyến, cơ sở dữ liệu nhật ký của AngelSense đã được nhìn thấy trước trên web vào ngày 14 tháng 1, mặc dù có thể đã bị tiết lộ từ trước.
Giám đốc điều hành AngelSense Doron Somer đã xác nhận với TechCrunch rằng công ty đã tạm ngưng máy chủ bị tiết lộ sau khi xác định email đầu tiên của UpGuard là thư rác.
“Chỉ khi UpGuard gọi điện cho chúng tôi thì vấn đề mới được chú ý đến,” Somer nói. “Sau khi phát hiện, chúng tôi đã hành động ngay lập tức để xác minh thông tin được cung cấp cho chúng tôi và khắc phục lỗ hổng.”
“Chúng tôi lưu ý rằng ngoại trừ UpGuard, chúng tôi không có thông tin cho thấy bất kỳ dữ liệu trên hệ thống nhật ký có thể đã bị truy cập. Cũng như chúng tôi không có bất kỳ bằng chứng hoặc dấu hiệu cho thấy dữ liệu đã được sử dụng sai cách hoặc dưới nguy cơ bị lạm dụng,” Somer cho biết với TechCrunch, khẳng định rằng dữ liệu “không phải là thông tin cá nhân nhạy cảm.”
Somer không nói liệu công ty có phương tiện kỹ thuật để xác định xem có bất kỳ truy cập vào máy chủ bị không bảo vệ trước khi UpGuard phát hiện hay không.
Khi được hỏi liệu công ty có kế hoạch thông báo cho khách hàng bị ảnh hưởng và những người dùng nơi dữ liệu đã bị tiết lộ, Somer nói rằng công ty đang tiếp tục điều tra.
“Nếu thông báo cho cơ quan quản lý hoặc cá nhân là cần thiết, chúng tôi sẽ cung cấp,” Somer nói.
Somer không trả lời câu hỏi theo thời gian báo chí.
Việc tiết lộ cơ sở dữ liệu thường là kết quả của các cài đặt sai lầm do lỗi của con người, thay vì ý đồ xấu, và đã trở thành một vấn đề phổ biến ngày càng trong vài năm gần đây. Những sự cố bảo mật tương tự của cơ sở dữ liệu bị tiết lộ đã dẫn đến rò rỉ email quân sự nhạy cảm của Mỹ, dòng tin nhắn văn bản thời gian thực chứa mã xác minh hai yếu tố và lịch sử trò chuyện từ các chatbot AI.
