國內兩公司近500萬敏感信息泄露,含幾十萬老人及其家屬數據

近日,Cybernews 團隊發現了兩個不安全的數據庫,總計大概有 500 萬條記錄,裏面包含大量敏感信息,比如姓名、手機號和住址等。

據悉,這兩個數據庫分別屬於中國兩家公司,其中,第一個數據庫爲孝信通所有,第二個數據庫可能與上海延華智能有關。屬於孝信通的數據庫包含老人敏感信息,有 GPS 位置、手機號碼、地址、哈希密碼等;而上海延華智能的數據庫則包含更多的敏感數據,例如易解碼的音頻文件、姓名、員工 ID、心率、GPS 位置等。

目前,這兩個數據庫已經被關閉。

第一個數據庫:超 30 萬老人數據泄露

Cybernews 團隊的研究表明,第一個數據庫屬於孝信通。公開資料顯示,孝信通是上海孝信網絡科技有限公司旗下的產品,該公司成立於 2015 年。據瞭解,孝信通是一個智能養老服務平臺,產品由移動智能終端、老人手機端 APP、子女手機端 APP、專業人員手機端 APP、雲服務平臺組成,爲老人提供“救、愛、健、助”服務。

而本次發現的孝信通數據庫包含超過 34 萬條記錄,內容非常詳細:

  • 手機號碼
  • 地址
  • GPS 位置
  • 用戶的親人和其他監護人的姓名以及手機號
  • 位置軌跡(包括住址和 GPS 座標)
  • 哈希密碼
  • SOS 記錄和 SOS 位置記錄
  • 個人 ID

這些數據中,絕大部分(有近 28.5 萬條記錄)爲地址、GPS 座標和個人 ID 數據。

第二個數據庫:泄露超 420 萬數據

Cybernews 表示,雖然它可以確信第一個數據庫屬於孝信通,但是對於第二個數據庫,它們還未完全確認它爲上海延華智能所有。

據官網介紹:上海延華智能科技(集團)股份有限公司是一家智慧城市服務與運營商,旗下有智慧節能、智慧醫療、智能建築與智慧社區、數據中心、智慧環保、智慧旅遊等業務。公開資料顯示,該公司 2019 年營收爲 9.18 億。

在查看第二個數據庫的內容時,研究者發現大量相同的數據類型:設施、報警、員工健康監控數據和與車輛相關的信息。同時,它們還在這個數據庫中發現帶有“yhzn”關鍵字的條目。

研究者在谷歌中搜索“yhzn",結果顯示”上海延華智能公司“,如下圖:

Cybernews 稱,“不幸的是,我們無法與該公司聯繫,從而進一步確認該數據庫是否歸屬它們。”

第二個數據庫包含超過 420 萬的記錄,且數據更爲詳細:

個人

  • 姓名、與工作相關的 ID 號碼、報警和警告 ;
  • 音頻文件和一些相關的姓名 ;
  • 計步器和設備電池強度 ;
  • 用戶心率、oxygen level 和可能的血壓 ;
  • 項目和人員名稱 ;
  • Packet GPS locations;
  • 個人的多種 GPS 位置,包括個人足跡。

車輛

  • 車輛工作 ID 和車牌號、警報、垃圾重量、村莊數等總計數千個條目;
  • 車輛 GPS 位置和軌跡。

設施

  • 設施名稱、報警類型、報警狀態、GPS 位置;
  • 總的來說,這些記錄中的大多數爲車輛 GPS 位置和軌跡、設施的數據以及人員的 GPS 跟蹤。

我們可以看看第二個數據庫中的數據

個人音頻記錄示例

個人健康記錄示例

後果

據悉,研究者並不清楚這兩個數據庫在網上暴露多長時間。因此,仍然不清楚是否有 bad actors 在數據庫關閉前訪問過這兩個數據庫。但是,問題在於僅具有中等技術知識的人就能訪問該數據庫,而無需任何身份驗證,因此其他人仍然有可能訪問它們。

實際上,有關特定運動的數據庫以及來自這些數據庫的健康數據可以爲網絡罪犯帶來不同的回報。一種方式是網絡犯罪分子在暗網上出售這些數據,每條數據記錄甚至可以淨賺 1 美元。另一種方式是和其他數據結合使用,犯罪分子可以利用它們進行電信詐騙、實施釣魚攻擊等。無論哪種方式,後果都很嚴重。

2019 年初,外網安全研究人員偶然發現一個沒有被很好保護的 MongoDB 數據庫服務器,整個實例包含 854GB 數據,共有 202,730,434 條記錄,其中大部分是中國用戶簡歷,內容非常詳細,包括中文全名、家庭住址、電話號碼、電子郵件、婚煙狀況、政治關係、期望薪水等內容。

2020 年 5 月,泰國移動運營商 Advanced Info Service (AIS) 子公司 Advanced Wireless Network (AWN) 控制的 Elasticsearch 數據庫可被公開訪問,數據庫中包含了約 83 億記錄,數據體量約爲 4.7 TB,每 24 小時增加 2 億記錄。

在筆者盤點的 2019 年數據泄露事件中,我們經統計發現:數據庫的在線公開是第二大數據泄露原因,佔全部數據泄露事件的 16%。

數據泄露一旦發生就無法挽回,後果也不可預知。因爲在互聯網上,泄露的數據有可能以各種方法被濫用。

參考資料:

https://cybernews.com/security/unsecured-chinese-companies-leak-users-sensitive-personal-and-business-data/

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章