写点什么

国内两公司近 500 万敏感信息泄露,含几十万老人及其家属数据

2020 年 7 月 10 日

国内两公司近500万敏感信息泄露,含几十万老人及其家属数据


近日,Cybernews 团队发现了两个不安全的数据库,总计大概有 500 万条记录,里面包含大量敏感信息,比如姓名、手机号和住址等。


据悉,这两个数据库分别属于中国两家公司,其中,第一个数据库为孝信通所有,第二个数据库可能与上海延华智能有关。属于孝信通的数据库包含老人敏感信息,有 GPS 位置、手机号码、地址、哈希密码等;而上海延华智能的数据库则包含更多的敏感数据,例如易解码的音频文件、姓名、员工 ID、心率、GPS 位置等。


目前,这两个数据库已经被关闭。


第一个数据库:超 30 万老人数据泄露

Cybernews 团队的研究表明,第一个数据库属于孝信通。公开资料显示,孝信通是上海孝信网络科技有限公司旗下的产品,该公司成立于 2015 年。据了解,孝信通是一个智能养老服务平台,产品由移动智能终端、老人手机端 APP、子女手机端 APP、专业人员手机端 APP、云服务平台组成,为老人提供“救、爱、健、助”服务。


而本次发现的孝信通数据库包含超过 34 万条记录,内容非常详细:


  • 手机号码

  • 地址

  • GPS 位置

  • 用户的亲人和其他监护人的姓名以及手机号

  • 位置轨迹(包括住址和 GPS 坐标)

  • 哈希密码

  • SOS 记录和 SOS 位置记录

  • 个人 ID


这些数据中,绝大部分(有近 28.5 万条记录)为地址、GPS 坐标和个人 ID 数据。


第二个数据库:泄露超 420 万数据

Cybernews 表示,虽然它可以确信第一个数据库属于孝信通,但是对于第二个数据库,它们还未完全确认它为上海延华智能所有。


据官网介绍:上海延华智能科技(集团)股份有限公司是一家智慧城市服务与运营商,旗下有智慧节能、智慧医疗、智能建筑与智慧社区、数据中心、智慧环保、智慧旅游等业务。公开资料显示,该公司 2019 年营收为 9.18 亿。


在查看第二个数据库的内容时,研究者发现大量相同的数据类型:设施、报警、员工健康监控数据和与车辆相关的信息。同时,它们还在这个数据库中发现带有“yhzn”关键字的条目。



研究者在谷歌中搜索“yhzn",结果显示”上海延华智能公司“,如下图:



Cybernews 称,“不幸的是,我们无法与该公司联系,从而进一步确认该数据库是否归属它们。”


第二个数据库包含超过 420 万的记录,且数据更为详细:


个人


  • 姓名、与工作相关的 ID 号码、报警和警告 ;

  • 音频文件和一些相关的姓名 ;

  • 计步器和设备电池强度 ;

  • 用户心率、oxygen level 和可能的血压 ;

  • 项目和人员名称 ;

  • Packet GPS locations;

  • 个人的多种 GPS 位置,包括个人足迹。


车辆


  • 车辆工作 ID 和车牌号、警报、垃圾重量、村庄数等总计数千个条目;

  • 车辆 GPS 位置和轨迹。


设施


  • 设施名称、报警类型、报警状态、GPS 位置;

  • 总的来说,这些记录中的大多数为车辆 GPS 位置和轨迹、设施的数据以及人员的 GPS 跟踪。


我们可以看看第二个数据库中的数据



个人音频记录示例



个人健康记录示例


后果

据悉,研究者并不清楚这两个数据库在网上暴露多长时间。因此,仍然不清楚是否有 bad actors 在数据库关闭前访问过这两个数据库。但是,问题在于仅具有中等技术知识的人就能访问该数据库,而无需任何身份验证,因此其他人仍然有可能访问它们。


实际上,有关特定运动的数据库以及来自这些数据库的健康数据可以为网络罪犯带来不同的回报。一种方式是网络犯罪分子在暗网上出售这些数据,每条数据记录甚至可以净赚 1 美元。另一种方式是和其他数据结合使用,犯罪分子可以利用它们进行电信诈骗、实施钓鱼攻击等。无论哪种方式,后果都很严重。


2019 年初,外网安全研究人员偶然发现一个没有被很好保护的 MongoDB 数据库服务器,整个实例包含 854GB 数据,共有 202,730,434 条记录,其中大部分是中国用户简历,内容非常详细,包括中文全名、家庭住址、电话号码、电子邮件、婚烟状况、政治关系、期望薪水等内容。


2020 年 5 月,泰国移动运营商 Advanced Info Service (AIS) 子公司 Advanced Wireless Network (AWN) 控制的 Elasticsearch 数据库可被公开访问,数据库中包含了约 83 亿记录,数据体量约为 4.7 TB,每 24 小时增加 2 亿记录。


在笔者盘点的 2019 年数据泄露事件中,我们经统计发现:数据库的在线公开是第二大数据泄露原因,占全部数据泄露事件的 16%。


数据泄露一旦发生就无法挽回,后果也不可预知。因为在互联网上,泄露的数据有可能以各种方法被滥用。


参考资料:


https://cybernews.com/security/unsecured-chinese-companies-leak-users-sensitive-personal-and-business-data/


2020 年 7 月 10 日 14:342037
用户头像
万佳 InfoQ编辑

发布了 543 篇内容, 共 199.5 次阅读, 收获喜欢 1348 次。

关注

评论

发布
暂无评论
发现更多内容

计算机专业必看!记录一次腾讯Android岗面试笔试总结,讲的明明白白!

欢喜学安卓

android 程序员 面试 移动开发

数据仓库的前世今生

数据社

数据仓库 七日更

框架VS架构,看两者异同

田维常

框架

第五章学习总结

简简单单

Code Review实践

HQ数字卡

Code Review 七日更

第 10 周作业

Steven

我家有猫

熊斌

生活方式 七日更 我家有猫

第五周 技术选型作业

简简单单

讲的真透彻!Android开发了解这些自然无惧面试,成功入职阿里

欢喜学安卓

android 程序员 面试 移动开发

日本准备推行AI婚配,年轻人会为“爱情算法”买单吗?

脑极体

第十周总结

孤星

wildfly 21中应用程序的部署

程序那些事

程序那些事 wildfly wildfly21 应用程序部署 应用程序配置

区块链的核心技术是什么?

CECBC区块链专委会

区块链

Spring 源码学习 10:prepareBeanFactory 和 postProcessBeanFactory

程序员小航

spring 源码 源码阅读

提问开启创新-激发团队创新的提问法

Alan

个人成长 创新 团队文化 七日更 28天写作

ARROW阿罗AOW币APP系统软件开发

开發I852946OIIO

系统开发

Flink比Spark好在哪?

数据社

flink spark 七日更

第八周-学习总结

Mr_No爱学习

架构师训练营第二期 Week 10 总结

bigxiang

极客大学架构师训练营

区块链 链什么?

CECBC区块链专委会

区块链 分布式

七周七并发模型

田维常

并发

TypeScript | 第七章:配置文件说明

梁龙先森

typescript 前端 编程语言 七日更

冰河是谁?到底是干嘛的?

冰河

程序员 程序人生 架构师 冰河 冰河技术

pagerank算法

橘子皮嚼着不脆

安全架构:反垃圾与风控

积极&丧

架构训练营第九周作业

一期一会

微服务 dubbo

代理模式

soolaugust

设计模式 代理模式 七日更

第十周作业

孤星

第八周-作业1

Mr_No爱学习

行业寒冬:程序员怎样优雅度过35岁中年危机?跳槽薪资翻倍

欢喜学安卓

android 程序员 面试 移动开发

架构师训练营第二期 Week 10 作业

bigxiang

极客大学架构师训练营

国内两公司近500万敏感信息泄露,含几十万老人及其家属数据-InfoQ