国内两公司近 500 万敏感信息泄露,含几十万老人及其家属数据

2020 年 7 月 12 日 InfoQ
作者 | 万佳

近日,Cybernews 团队发现了两个不安全的数据库,总计大概有 500 万条记录,里面包含大量敏感信息,比如姓名、手机号和住址等。

据悉,这两个数据库分别属于中国两家公司,其中,第一个数据库为孝信通所有,第二个数据库可能与上海延华智能有关。属于孝信通的数据库包含老人敏感信息,有 GPS 位置、手机号码、地址、哈希密码等;而上海延华智能的数据库则包含更多的敏感数据,例如易解码的音频文件、姓名、员工 ID、心率、GPS 位置等。

目前,这两个数据库已经被关闭。

第一个数据库:超 30 万老人数据泄露

Cybernews 团队的研究表明,第一个数据库属于孝信通。公开资料显示,孝信通是上海孝信网络科技有限公司旗下的产品,该公司成立于 2015 年。据了解,孝信通是一个智能养老服务平台,产品由移动智能终端、老人手机端 APP、子女手机端 APP、专业人员手机端 APP、云服务平台组成,为老人提供“救、爱、健、助”服务。

而本次发现的孝信通数据库包含超过 34 万条记录,内容非常详细:

  • 手机号码

  • 地址

  • GPS 位置

  • 用户的亲人和其他监护人的姓名以及手机号

  • 位置轨迹(包括住址和 GPS 坐标)

  • 哈希密码

  • SOS 记录和 SOS 位置记录

  • 个人 ID

这些数据中,绝大部分(有近 28.5 万条记录)为地址、GPS 坐标和个人 ID 数据。

第二个数据库:泄露超 420 万数据

Cybernews 表示,虽然它可以确信第一个数据库属于孝信通,但是对于第二个数据库,它们还未完全确认它为上海延华智能所有。

据官网介绍:上海延华智能科技(集团)股份有限公司是一家智慧城市服务与运营商,旗下有智慧节能、智慧医疗、智能建筑与智慧社区、数据中心、智慧环保、智慧旅游等业务。公开资料显示,该公司 2019 年营收为 9.18 亿。

在查看第二个数据库的内容时,研究者发现大量相同的数据类型:设施、报警、员工健康监控数据和与车辆相关的信息。同时,它们还在这个数据库中发现带有“yhzn”关键字的条目。

研究者在谷歌中搜索“yhzn",结果显示”上海延华智能公司“,如下图:

Cybernews 称,“不幸的是,我们无法与该公司联系,从而进一步确认该数据库是否归属它们。”

第二个数据库包含超过 420 万的记录,且数据更为详细:

个人

  • 姓名、与工作相关的 ID 号码、报警和警告 ;

  • 音频文件和一些相关的姓名 ;

  • 计步器和设备电池强度 ;

  • 用户心率、oxygen level 和可能的血压 ;

  • 项目和人员名称 ;

  • Packet GPS locations;

  • 个人的多种 GPS 位置,包括个人足迹。

车辆

  • 车辆工作 ID 和车牌号、警报、垃圾重量、村庄数等总计数千个条目;

  • 车辆 GPS 位置和轨迹。

设施

  • 设施名称、报警类型、报警状态、GPS 位置;

  • 总的来说,这些记录中的大多数为车辆 GPS 位置和轨迹、设施的数据以及人员的 GPS 跟踪。

我们可以看看第二个数据库中的数据

后 果

据悉,研究者并不清楚这两个数据库在网上暴露多长时间。因此,仍然不清楚是否有 bad actors 在数据库关闭前访问过这两个数据库。但是,问题在于仅具有中等技术知识的人就能访问该数据库,而无需任何身份验证,因此其他人仍然有可能访问它们。

实际上,有关特定运动的数据库以及来自这些数据库的健康数据可以为网络罪犯带来不同的回报。一种方式是网络犯罪分子在暗网上出售这些数据,每条数据记录甚至可以净赚 1 美元。另一种方式是 和其他数据结合使用,犯罪分子可以利用它们进行电信诈骗、实施钓鱼攻击等。无论哪种方式,后果都很严重。

2019 年初,外网安全研究人员偶然发现 一个没有被很好保护的 MongoDB 数据库服务器,整个实例包含 854GB 数据,共有 202,730,434 条记录,其中大部分是中国用户简历,内容非常详细,包括中文全名、家庭住址、电话号码、电子邮件、婚烟状况、政治关系、期望薪水等内容。

2020 年 5 月,泰国移动运营商 Advanced Info Service (AIS) 子公司  Advanced Wireless Network (AWN) 控制的 Elasticsearch 数据库可被公开访问,数据库中包含了约 83 亿记录,数据体量约为 4.7 TB,每 24 小时增加 2 亿记录。

在笔者盘点的2019 年数据泄露事件 中,我们经统计发现:数据库的在线公开是第二大数据泄露原因,占全部数据泄露事件的 16%。

数据泄露一旦发生就无法挽回,后果也不可预知。因为在互联网上,泄露的数据有可能以各种方法被滥用。

参考阅读:

https://cybernews.com/security/unsecured-chinese-companies-leak-users-sensitive-personal-and-business-data/



InfoQ 读者交流群上线啦!各位小伙伴可以扫描下方二维码,添加 InfoQ 小助手,回复关键字“进群”申请入群。大家可以和 InfoQ 读者一起畅所欲言,和编辑们零距离接触,超值的技术礼包等你领取,还有超值活动等你参加,快来加入我们吧!




点个在看少个 bug 👇

登录查看更多
1

相关内容

数据库( Database )或数据库管理系统( Database management systems )是按照数据结构来组织、存储和管理数据的仓库。目前数据管理不再仅仅是存储和管理数据,而转变成用户所需要的各种数据管理的方式。
【微众银行】联邦学习白皮书_v2.0,48页pdf,
专知会员服务
165+阅读 · 2020年4月26日
【白皮书】“物联网+区块链”应用与发展白皮书-2019
专知会员服务
93+阅读 · 2019年11月13日
硅谷的“中台论”与中国的“中台论”
AI前线
4+阅读 · 2019年9月21日
泰国通过个人信息保护法
蚂蚁金服评论
16+阅读 · 2019年4月3日
欧洲数据保护委员会(EDPB)发布两年工作计划
蚂蚁金服评论
5+阅读 · 2019年4月1日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
已删除
黑白之道
19+阅读 · 2018年12月23日
Arxiv
101+阅读 · 2020年3月4日
Neural Response Generation with Meta-Words
Arxiv
6+阅读 · 2019年6月14日
Arxiv
8+阅读 · 2019年5月20日
Learning Recommender Systems from Multi-Behavior Data
Arxiv
7+阅读 · 2018年11月29日
Arxiv
6+阅读 · 2018年7月29日
Arxiv
14+阅读 · 2018年4月18日
VIP会员
相关VIP内容
【微众银行】联邦学习白皮书_v2.0,48页pdf,
专知会员服务
165+阅读 · 2020年4月26日
【白皮书】“物联网+区块链”应用与发展白皮书-2019
专知会员服务
93+阅读 · 2019年11月13日
相关论文
Arxiv
101+阅读 · 2020年3月4日
Neural Response Generation with Meta-Words
Arxiv
6+阅读 · 2019年6月14日
Arxiv
8+阅读 · 2019年5月20日
Learning Recommender Systems from Multi-Behavior Data
Arxiv
7+阅读 · 2018年11月29日
Arxiv
6+阅读 · 2018年7月29日
Arxiv
14+阅读 · 2018年4月18日
Top
微信扫码咨询专知VIP会员