A AngelSense, uma empresa de tecnologia assistiva que fornece dispositivos de monitoramento de localização para pessoas com deficiência, estava derramando informações pessoalmente identificáveis e dados precisos de localização de seus usuários para a Internet aberta, aprendeu o TechCrunch.
A empresa garantiu o servidor exposto na segunda -feira, mais de uma semana depois de ter sido alertado sobre o vazamento de dados pelos pesquisadores da empresa de segurança UpGuard.
A UpGuard compartilhou detalhes da exposição exclusivamente com o TechCrunch depois que o AngelSense resolveu o lapso. Desde então, o UpGuard publicou uma postagem no blog sobre o incidente.
O AngelSense, com sede em Nova Jersey, fornece rastreadores de GPS e monitoramento de localização a milhares de clientes, de acordo com sua listagem de aplicativos móveis, e é apoiado pelos departamentos de aplicação da lei e policiais nos Estados Unidos.
De acordo com os pesquisadores da UPGuard, o AngelSense deixou um banco de dados interno exposto à Internet sem uma senha, permitindo que qualquer pessoa acesse os dados no interior usando apenas um navegador da Web e o conhecimento do endereço IP público do banco de dados. O banco de dados estava armazenando registros de atualização em tempo real de um sistema angelsense, que incluía as informações pessoais dos clientes do AngelSense, bem como registros técnicos sobre os sistemas da empresa.
A UpGuard disse que encontrou dados pessoais dos clientes, como nomes, endereços postais e números de telefone no banco de dados exposto. Os pesquisadores disseram que também encontraram coordenadas de GPS de indivíduos sendo monitorados – incluindo informações de saúde associadas sobre a pessoa rastreada, que incluíam condições como autismo e demência. Os pesquisadores também encontraram endereços de email, senhas e tokens de autenticação para acessar contas de clientes, além de informações parciais do cartão de crédito – todas visíveis em texto simples, disse UpGuard.
Não se sabe exatamente quanto tempo o banco de dados foi exposto nem quantos clientes foram afetados. De acordo com a listagem do banco de dados em Shodan, um mecanismo de pesquisa de dispositivos e sistemas voltados para a Internet, o banco de dados de registro exposto do AngelSense foi visto pela primeira vez on-line em 14 de janeiro, embora possa ter sido exposto algum tempo antes.
O executivo -chefe da AngelSense, Doron Somer, confirmou ao TechCrunch que a empresa levou o servidor exposto offline depois de identificar inicialmente o primeiro e -mail do UpGuard como spam.
“Foi somente quando Upguard nos telefonou que a questão foi levantada à nossa atenção”, disse Somer. “Após sua descoberta, agimos prontamente para validar as informações fornecidas a nós e para remediar a vulnerabilidade”.
“Observamos que, além do upguard, não temos informações sugerindo que quaisquer dados sobre o sistema de registro foram potencialmente acessados. Tampouco temos nenhuma evidência ou indicação de que os dados foram mal utilizados ou estão sob ameaça de uso indevido “, disse Somer ao TechCrunch, alegando que os dados” não eram informações pessoais sensíveis “.
Somer não diria se a empresa tiver os meios técnicos para determinar se houve algum acesso ao servidor desprotegido antes da descoberta de UpGuard.
Quando perguntado se a empresa planejava notificar clientes e indivíduos afetados cujos dados foram expostos, Somer disse que a empresa ainda estava investigando.
“Se o aviso aos reguladores ou pessoas for justificado, é claro que o forneceremos”, disse Somer.
Somer não respondeu a uma investigação de acompanhamento até a imprensa.
As exposições ao banco de dados são frequentemente o resultado de configurações incorretas causadas por erro humano, em vez de intenção maliciosa, e se tornaram uma ocorrência cada vez mais comum nos últimos anos. Lapsos de segurança semelhantes de bancos de dados expostos resultaram no derramamento de e-mails militares sensíveis dos EUA, o vazamento em tempo real de mensagens de texto contendo códigos de dois fatores e históricos de bate-papo da AI Chatbots.
