微慑信息网

上海2家科技公司被曝数据泄露

Cybernews研究人员发现上海孝信网络的2个含有上百万用户数据的数据库存在安全问题。其中一个数据库属于孝信通,隶属于上海孝信网络科技有限公司,运用互联网+科技养老的新理念,致力于提高中国2亿老人居家养老的生活质量,为老年人提供不同的app和服务。另外一个数据库属于上海延华智能科技,延华智能是一家智能建筑与数字社区的全面服务商,面向办公楼宇、住宅社区、工厂企业、教育科研、医疗卫生、政府机关、宾馆酒店和市政工程等不同行业,专业从事智能建筑工程总包业务,包括规划、咨询、设计、施工等服务。

数据库中有什么?

孝信通数据

研究人员确信第一个泄露的数据库来自上海孝信网络。为中国2亿老年人提供智慧养老服务的孝信通数据库中含有超过34万条的GPS位置信息、手机号、地址、哈希的口令等敏感信息记录。具体包括:

· 手机号、地址和GPS位置;

· 用户亲属和监护人的姓名和手机号;

· 位置记录(包括GPS坐标和地址);

· 哈希的口令;

· SOS记录和SOS记录位置;

· 个人ID。

这34万条数据中有28.5万数据都是地址、GPS坐标和个人ID信息。

疑似上海延华智能数据库

研究人员怀疑第二个数据库来自上海延华智能科技,但没有十足的把握。第二个数据库中含有420万条记录,也包含更多的敏感信息,包括员工健康监控数据、车辆相关的信息和设施信息等。数据库的class分类中含有关键字:yhzn。

part of code with some parts underlined

研究人员谷歌搜索yhzn的结果如下:

google serach for yhzn cropped

研究人员联系上海延华智能没有任何回应。

数据库中含有的信息具体包括:

个人信息

· 姓名、工作ID号、alarm和警告信息;

· 音频文件和相关的名称;

· 计步器和装置电池强度;

· 用户心率、氧气浓度、和血压信息;

· 项目和个人名称;

· 包GPS位置;

· 个人的不同GPS位置信息。

车辆信息

· 车辆工作ID和车牌号、警报、社区重量、垃圾重量、社区数量等;

· 车辆GPS位置和记录。

设施信息

· 设施名、报警类型、报警状态、GPS位置。

其中大多数的记录属于GPS位置、设施数据和个人的GPS追踪数据。

第二个数据库中的个人音频示例:

censored person-audio example

个人健康数据示例:

个人追踪数据示例:

censored person tracks example

(车辆)每月的用油量报告示例:

censored oil amt montly report example

谁可以访问这两个数据库?

这两个数据库已经暴露一段时间了,两个数据库的记录总数超过500万条,主要是老年人和其家庭、智能楼宇和联网车辆和员工的个人隐私信息。目前这两个数据库都已经关闭了。

目前还不确定数据库在关闭之前有没有恶意攻击者访问数据。因为访问数据库无需任何认证,因此可能数据库已经被访问过了。

事件进展

研究人员在发现不安全的数据库后于2020年1月14日联系了数据库所有者。孝信通很快就关闭了数据库,但第二个数据库是在联系了国家互联网应急中心后于2020年3月5日关闭的。

本文翻译自:https://cybernews.com/security/unsecured-chinese-companies-leak-users-sensitive-personal-and-business-data/如若转载,请注明原文地址
本文标题:上海2家科技公司被曝数据泄露
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2020/0708_11466.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 上海2家科技公司被曝数据泄露
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们