上海2家科技公司被曝數(shù)據(jù)泄露
Cybernews研究人員發(fā)現(xiàn)上海孝信網(wǎng)絡(luò)的2個含有上百萬用戶數(shù)據(jù)的數(shù)據(jù)庫存在安全問題�。其中一個數(shù)據(jù)庫屬于孝信通�,隸屬于上海孝信網(wǎng)絡(luò)科技有限公司,運用互聯(lián)網(wǎng)+科技養(yǎng)老的新理念��,致力于提高中國2億老人居家養(yǎng)老的生活質(zhì)量�����,為老年人提供不同的app和服務(wù)�����。另外一個數(shù)據(jù)庫屬于上海延華智能科技,延華智能是一家智能建筑與數(shù)字社區(qū)的全面服務(wù)商�����,面向辦公樓宇�����、住宅社區(qū)����、工廠企業(yè)、教育科研��、醫(yī)療衛(wèi)生�����、政府機關(guān)��、賓館酒店和市政工程等不同行業(yè)�,專業(yè)從事智能建筑工程總包業(yè)務(wù)�,包括規(guī)劃、咨詢�����、設(shè)計、施工等服務(wù)��。
數(shù)據(jù)庫中有什么�?
孝信通數(shù)據(jù)
研究人員確信第一個泄露的數(shù)據(jù)庫來自上海孝信網(wǎng)絡(luò)。為中國2億老年人提供智慧養(yǎng)老服務(wù)的孝信通數(shù)據(jù)庫中含有超過34萬條的GPS位置信息����、手機號、地址�����、哈希的口令等敏感信息記錄���。具體包括:
·手機號�、地址和GPS位置����;
·用戶親屬和監(jiān)護人的姓名和手機號;
·位置記錄(包括GPS坐標和地址)���;
·哈希的口令�����;
·SOS記錄和SOS記錄位置�����;
·個人ID���。
這34萬條數(shù)據(jù)中有28.5萬數(shù)據(jù)都是地址����、GPS坐標和個人ID信息�����。
疑似上海延華智能數(shù)據(jù)庫
研究人員懷疑第二個數(shù)據(jù)庫來自上海延華智能科技��,但沒有十足的把握��。第二個數(shù)據(jù)庫中含有420萬條記錄�,也包含更多的敏感信息,包括員工健康監(jiān)控數(shù)據(jù)��、車輛相關(guān)的信息和設(shè)施信息等��。數(shù)據(jù)庫的class分類中含有關(guān)鍵字:yhzn����。
研究人員谷歌搜索yhzn的結(jié)果如下:
研究人員聯(lián)系上海延華智能沒有任何回應(yīng)。
數(shù)據(jù)庫中含有的信息具體包括:
個人信息
·姓名��、工作ID號���、alarm和警告信息�;
·音頻文件和相關(guān)的名稱��;
·計步器和裝置電池強度����;
·用戶心率、氧氣濃度�����、和血壓信息��;
·項目和個人名稱�;
·包GPS位置;
·個人的不同GPS位置信息��。
車輛信息
·車輛工作ID和車牌號、警報�、社區(qū)重量、垃圾重量�、社區(qū)數(shù)量等;
·車輛GPS位置和記錄�����。
設(shè)施信息
·設(shè)施名�、報警類型、報警狀態(tài)�、GPS位置。
其中大多數(shù)的記錄屬于GPS位置�����、設(shè)施數(shù)據(jù)和個人的GPS追蹤數(shù)據(jù)�。
第二個數(shù)據(jù)庫中的個人音頻示例:
個人健康數(shù)據(jù)示例:
個人追蹤數(shù)據(jù)示例:
(車輛)每月的用油量報告示例:
誰可以訪問這兩個數(shù)據(jù)庫?
這兩個數(shù)據(jù)庫已經(jīng)暴露一段時間了�,兩個數(shù)據(jù)庫的記錄總數(shù)超過500萬條,主要是老年人和其家庭��、智能樓宇和聯(lián)網(wǎng)車輛和員工的個人隱私信息�����。目前這兩個數(shù)據(jù)庫都已經(jīng)關(guān)閉了。
目前還不確定數(shù)據(jù)庫在關(guān)閉之前有沒有惡意攻擊者訪問數(shù)據(jù)�。因為訪問數(shù)據(jù)庫無需任何認證�,因此可能數(shù)據(jù)庫已經(jīng)被訪問過了。
事件進展
研究人員在發(fā)現(xiàn)不安全的數(shù)據(jù)庫后于2020年1月14日聯(lián)系了數(shù)據(jù)庫所有者�����。孝信通很快就關(guān)閉了數(shù)據(jù)庫�,但第二個數(shù)據(jù)庫是在聯(lián)系了國家互聯(lián)網(wǎng)應(yīng)急中心后于2020年3月5日關(guān)閉的。
