“All in Cloud”之后,和你聊聊「云原生DevOps的Kubernetes技巧」 了解详情
写点什么

国内两公司近 500 万敏感信息泄露,含几十万老人及其家属数据

  • 2020 年 7 月 10 日
  • 本文字数:1747 字

    阅读完需:约 6 分钟

国内两公司近500万敏感信息泄露,含几十万老人及其家属数据


近日,Cybernews 团队发现了两个不安全的数据库,总计大概有 500 万条记录,里面包含大量敏感信息,比如姓名、手机号和住址等。


据悉,这两个数据库分别属于中国两家公司,其中,第一个数据库为孝信通所有,第二个数据库可能与上海延华智能有关。属于孝信通的数据库包含老人敏感信息,有 GPS 位置、手机号码、地址、哈希密码等;而上海延华智能的数据库则包含更多的敏感数据,例如易解码的音频文件、姓名、员工 ID、心率、GPS 位置等。


目前,这两个数据库已经被关闭。


第一个数据库:超 30 万老人数据泄露

Cybernews 团队的研究表明,第一个数据库属于孝信通。公开资料显示,孝信通是上海孝信网络科技有限公司旗下的产品,该公司成立于 2015 年。据了解,孝信通是一个智能养老服务平台,产品由移动智能终端、老人手机端 APP、子女手机端 APP、专业人员手机端 APP、云服务平台组成,为老人提供“救、爱、健、助”服务。


而本次发现的孝信通数据库包含超过 34 万条记录,内容非常详细:


  • 手机号码

  • 地址

  • GPS 位置

  • 用户的亲人和其他监护人的姓名以及手机号

  • 位置轨迹(包括住址和 GPS 坐标)

  • 哈希密码

  • SOS 记录和 SOS 位置记录

  • 个人 ID


这些数据中,绝大部分(有近 28.5 万条记录)为地址、GPS 坐标和个人 ID 数据。


第二个数据库:泄露超 420 万数据

Cybernews 表示,虽然它可以确信第一个数据库属于孝信通,但是对于第二个数据库,它们还未完全确认它为上海延华智能所有。


据官网介绍:上海延华智能科技(集团)股份有限公司是一家智慧城市服务与运营商,旗下有智慧节能、智慧医疗、智能建筑与智慧社区、数据中心、智慧环保、智慧旅游等业务。公开资料显示,该公司 2019 年营收为 9.18 亿。


在查看第二个数据库的内容时,研究者发现大量相同的数据类型:设施、报警、员工健康监控数据和与车辆相关的信息。同时,它们还在这个数据库中发现带有“yhzn”关键字的条目。



研究者在谷歌中搜索“yhzn",结果显示”上海延华智能公司“,如下图:



Cybernews 称,“不幸的是,我们无法与该公司联系,从而进一步确认该数据库是否归属它们。”


第二个数据库包含超过 420 万的记录,且数据更为详细:


个人


  • 姓名、与工作相关的 ID 号码、报警和警告 ;

  • 音频文件和一些相关的姓名 ;

  • 计步器和设备电池强度 ;

  • 用户心率、oxygen level 和可能的血压 ;

  • 项目和人员名称 ;

  • Packet GPS locations;

  • 个人的多种 GPS 位置,包括个人足迹。


车辆


  • 车辆工作 ID 和车牌号、警报、垃圾重量、村庄数等总计数千个条目;

  • 车辆 GPS 位置和轨迹。


设施


  • 设施名称、报警类型、报警状态、GPS 位置;

  • 总的来说,这些记录中的大多数为车辆 GPS 位置和轨迹、设施的数据以及人员的 GPS 跟踪。


我们可以看看第二个数据库中的数据



个人音频记录示例



个人健康记录示例


后果

据悉,研究者并不清楚这两个数据库在网上暴露多长时间。因此,仍然不清楚是否有 bad actors 在数据库关闭前访问过这两个数据库。但是,问题在于仅具有中等技术知识的人就能访问该数据库,而无需任何身份验证,因此其他人仍然有可能访问它们。


实际上,有关特定运动的数据库以及来自这些数据库的健康数据可以为网络罪犯带来不同的回报。一种方式是网络犯罪分子在暗网上出售这些数据,每条数据记录甚至可以净赚 1 美元。另一种方式是和其他数据结合使用,犯罪分子可以利用它们进行电信诈骗、实施钓鱼攻击等。无论哪种方式,后果都很严重。


2019 年初,外网安全研究人员偶然发现一个没有被很好保护的 MongoDB 数据库服务器,整个实例包含 854GB 数据,共有 202,730,434 条记录,其中大部分是中国用户简历,内容非常详细,包括中文全名、家庭住址、电话号码、电子邮件、婚烟状况、政治关系、期望薪水等内容。


2020 年 5 月,泰国移动运营商 Advanced Info Service (AIS) 子公司 Advanced Wireless Network (AWN) 控制的 Elasticsearch 数据库可被公开访问,数据库中包含了约 83 亿记录,数据体量约为 4.7 TB,每 24 小时增加 2 亿记录。


在笔者盘点的 2019 年数据泄露事件中,我们经统计发现:数据库的在线公开是第二大数据泄露原因,占全部数据泄露事件的 16%。


数据泄露一旦发生就无法挽回,后果也不可预知。因为在互联网上,泄露的数据有可能以各种方法被滥用。


参考资料:


https://cybernews.com/security/unsecured-chinese-companies-leak-users-sensitive-personal-and-business-data/


2020 年 7 月 10 日 14:342224
用户头像
万佳 InfoQ编辑

发布了 651 篇内容, 共 265.7 次阅读, 收获喜欢 1718 次。

关注

评论

发布
暂无评论
发现更多内容

python爬虫JS逆向:X咕视频密码与指纹加密分析,程序员工作2年月薪12K

程序媛可鸥

Python 程序员 面试

Golang 1.18正式版发布,正式加入泛型语言家庭

学神来啦

Go golang Go 语言

fastposter v2.6.1 发布 程序员专属海报生成器

物有本末

海报 fastposter 海报生成器 电商海报

Python爬虫:看看舞蹈区哪个女网红最给力,如果爬虫不是为了爬视频

程序媛可鸥

Python 程序员 面试

python的默认参数的一个坑(1),快速学会

程序媛可鸥

程序员

Kubernetes 集群如何做到低成本高弹性

玄月九

Kubernetes 弹性 成本 降本

吕氏餐饮:用宜搭智能考核绩效,人事管理更高效

钉钉宜搭低代码

低代码 数字化 钉钉宜搭

python基础教程:元组和集合,踩坑了

程序媛可鸥

python实现读取并显示图片的两种方法,15分钟的字节跳动视频面试

程序媛可鸥

Python 程序员 面试

Python所有方向的学习路线,你们要的知识体系在这,千万别做了无用功

程序媛可鸥

Python 程序员 面试

经验分享 | 最佳文档协作软件推荐

小炮

2月券商App行情刷新及交易体验报告,东方与安信升至领导者象限

博睿数据

18M 超轻量系统开源

百度开发者中心

区块链+供应链金融,中小微企业融资按下“快进键”

旺链科技

区块链 产业区块链 供应链金融

数字空间里的普法课堂!最高法工作报告解读登陆百度希壤

百度开发者中心

如何在PC端应用中运行小程序?

FinClip

小程序 小程序框架 小程序容器

一文读懂可观测性与Opentelemetry

博睿数据

云原生周报 | Prometheus 采用率处于领先地位;Linkerd 发布 K8s自动故障转移特性

百度开发者中心

AI+生物计算:用计算机视觉技术理解细胞生命

百度开发者中心

Tapdata 在“疫”线:携手张家港市卫健委争分夺秒实时抗疫

tapdata

数据库 实时数据

Python教程:抽象类与归一化,Python多线程断点续传

程序媛可鸥

Python 程序员 面试

Apache ShardingSphere 企业行|走进中信云网

SphereEx

数据库 开源 企业 ShardingSphere SphereEx

高可用演练中堆叠切换失败分析

BUG侦探

高可用 堆叠 链路聚合

Python基础教程:print输出带颜色的方法详解,Python开发基础面试题

程序媛可鸥

Python 程序员 面试

百度交易中台之账房系统架构浅析

百度开发者中心

易观分析:应用数字孪生低代码平台,API开放性是选型关键

易观分析

数字孪生

Python爬取知乎上搞笑视频,一顿爆笑送给大家,程序员面试题精选100题

程序媛可鸥

Python 程序员 面试

Python爬虫入门教程10:彼岸壁纸爬取,成功入职字节跳动

程序媛可鸥

Python 程序员 面试

Python实现自动发送B站直播弹幕软件,Python开发环境

程序媛可鸥

Python 程序员 面试

国内两公司近500万敏感信息泄露,含几十万老人及其家属数据_安全_万佳_InfoQ精选文章