写点什么

国内两公司近 500 万敏感信息泄露,含几十万老人及其家属数据

  • 2020-07-10
  • 本文字数:1747 字

    阅读完需:约 6 分钟

国内两公司近500万敏感信息泄露,含几十万老人及其家属数据


近日,Cybernews 团队发现了两个不安全的数据库,总计大概有 500 万条记录,里面包含大量敏感信息,比如姓名、手机号和住址等。


据悉,这两个数据库分别属于中国两家公司,其中,第一个数据库为孝信通所有,第二个数据库可能与上海延华智能有关。属于孝信通的数据库包含老人敏感信息,有 GPS 位置、手机号码、地址、哈希密码等;而上海延华智能的数据库则包含更多的敏感数据,例如易解码的音频文件、姓名、员工 ID、心率、GPS 位置等。


目前,这两个数据库已经被关闭。

第一个数据库:超 30 万老人数据泄露

Cybernews 团队的研究表明,第一个数据库属于孝信通。公开资料显示,孝信通是上海孝信网络科技有限公司旗下的产品,该公司成立于 2015 年。据了解,孝信通是一个智能养老服务平台,产品由移动智能终端、老人手机端 APP、子女手机端 APP、专业人员手机端 APP、云服务平台组成,为老人提供“救、爱、健、助”服务。


而本次发现的孝信通数据库包含超过 34 万条记录,内容非常详细:


  • 手机号码

  • 地址

  • GPS 位置

  • 用户的亲人和其他监护人的姓名以及手机号

  • 位置轨迹(包括住址和 GPS 坐标)

  • 哈希密码

  • SOS 记录和 SOS 位置记录

  • 个人 ID


这些数据中,绝大部分(有近 28.5 万条记录)为地址、GPS 坐标和个人 ID 数据。

第二个数据库:泄露超 420 万数据

Cybernews 表示,虽然它可以确信第一个数据库属于孝信通,但是对于第二个数据库,它们还未完全确认它为上海延华智能所有。


据官网介绍:上海延华智能科技(集团)股份有限公司是一家智慧城市服务与运营商,旗下有智慧节能、智慧医疗、智能建筑与智慧社区、数据中心、智慧环保、智慧旅游等业务。公开资料显示,该公司 2019 年营收为 9.18 亿。


在查看第二个数据库的内容时,研究者发现大量相同的数据类型:设施、报警、员工健康监控数据和与车辆相关的信息。同时,它们还在这个数据库中发现带有“yhzn”关键字的条目。



研究者在谷歌中搜索“yhzn",结果显示”上海延华智能公司“,如下图:



Cybernews 称,“不幸的是,我们无法与该公司联系,从而进一步确认该数据库是否归属它们。”


第二个数据库包含超过 420 万的记录,且数据更为详细:


个人


  • 姓名、与工作相关的 ID 号码、报警和警告 ;

  • 音频文件和一些相关的姓名 ;

  • 计步器和设备电池强度 ;

  • 用户心率、oxygen level 和可能的血压 ;

  • 项目和人员名称 ;

  • Packet GPS locations;

  • 个人的多种 GPS 位置,包括个人足迹。


车辆


  • 车辆工作 ID 和车牌号、警报、垃圾重量、村庄数等总计数千个条目;

  • 车辆 GPS 位置和轨迹。


设施


  • 设施名称、报警类型、报警状态、GPS 位置;

  • 总的来说,这些记录中的大多数为车辆 GPS 位置和轨迹、设施的数据以及人员的 GPS 跟踪。


我们可以看看第二个数据库中的数据



个人音频记录示例



个人健康记录示例

后果

据悉,研究者并不清楚这两个数据库在网上暴露多长时间。因此,仍然不清楚是否有 bad actors 在数据库关闭前访问过这两个数据库。但是,问题在于仅具有中等技术知识的人就能访问该数据库,而无需任何身份验证,因此其他人仍然有可能访问它们。


实际上,有关特定运动的数据库以及来自这些数据库的健康数据可以为网络罪犯带来不同的回报。一种方式是网络犯罪分子在暗网上出售这些数据,每条数据记录甚至可以净赚 1 美元。另一种方式是和其他数据结合使用,犯罪分子可以利用它们进行电信诈骗、实施钓鱼攻击等。无论哪种方式,后果都很严重。


2019 年初,外网安全研究人员偶然发现一个没有被很好保护的 MongoDB 数据库服务器,整个实例包含 854GB 数据,共有 202,730,434 条记录,其中大部分是中国用户简历,内容非常详细,包括中文全名、家庭住址、电话号码、电子邮件、婚烟状况、政治关系、期望薪水等内容。


2020 年 5 月,泰国移动运营商 Advanced Info Service (AIS) 子公司 Advanced Wireless Network (AWN) 控制的 Elasticsearch 数据库可被公开访问,数据库中包含了约 83 亿记录,数据体量约为 4.7 TB,每 24 小时增加 2 亿记录。


在笔者盘点的 2019 年数据泄露事件中,我们经统计发现:数据库的在线公开是第二大数据泄露原因,占全部数据泄露事件的 16%。


数据泄露一旦发生就无法挽回,后果也不可预知。因为在互联网上,泄露的数据有可能以各种方法被滥用。


参考资料:


https://cybernews.com/security/unsecured-chinese-companies-leak-users-sensitive-personal-and-business-data/


2020-07-10 14:343366
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 374.7 次阅读, 收获喜欢 1805 次。

关注

评论

发布
暂无评论
发现更多内容

1688API接口终极宝典:列表、详情全掌握,图片搜索攻略助你一臂之力

tbapi

1688商品列表接口 1688API 1688商品详情API 1688图片搜索API

Qt开发麒麟Linux桌面应用程序的流程

北京木奇移动技术有限公司

麒麟操作系统 软件外包公司 QT软件外包

数据仓库分层 4 层模型是什么?

镜舟科技

数据仓库 数据处理 StarRocks 物化视图 分层 4 层模型

Dify搭建AI图片生成助手中的坑!

王磊

AI编程在BOSS项目的实践经验分享

智在碧得

AI

Qt开发macOS应用程序的流程

北京木奇移动技术有限公司

软件外包公司 QT开发公司 QT外包

介绍一下这只小水獭 —— Fluss Logo 背后的故事

Apache Flink

大数据 flink 实时计算 Fluss

【拥抱鸿蒙】Flutter+Cursor轻松打造HarmonyOS应用(二)

郑知鱼

flutter 鸿蒙 HarmonyOS 移动端开发 cursor

什么是物化视图(Materialized View)?

镜舟科技

数字化转型 实时数据分析 StarRocks 物化视图 存储优化

1688图片搜索API秘籍! 轻松获取相似商品数据

tbapi

1688API 1688图片搜索接口 1688图片搜索API 1688拍立淘api

【拥抱鸿蒙】Flutter+Cursor轻松打造HarmonyOS应用(一)

郑知鱼

flutter 移动端开发 AI编程 harmoyos cursor

国产大模型deepseek-R1 0528重大更新!接入mcp,写3D小游戏只要5分钟!

阿星AI工作室

AI 大模型 AI教程 AI编程 deepseek‘

大模型训练常见通信源语解释

永荣带你玩转昇腾

QT桌面客户端在Linux下的开发流程

北京木奇移动技术有限公司

Linux 软件外包公司 QT开发

AJax(XHR+Get和Post+AJax的封装)

刘大猫

ajax 人工智能 算法 post GET

《算法导论(第4版)》阅读笔记:p164-p172

codists

算法

端午|年年岁岁皆如愿 岁岁年年长安康

中烟创新

全网最全的Java面试八股文合集!【附答案】

Geek_Yin

Java 程序员 java面试 Java面试题 Java面试八股文

AKOOL 实时摄像头:实时 AI 语音翻译和换脸;SpAItial 融资 1300 万美元,打造 3D 生成和理解平台丨日报

声网

StarRocks x Iceberg:云原生湖仓分析技术揭秘与最佳实践

StarRocks

数据仓库 数据湖 StarRocks 物化视图 lceberg

「小红书」正式加入 Karmada 用户组!携手社区共建多集群生态

华为云原生团队

云计算 容器 云原生

鸿蒙HarmonyOS - SideBarContainer 组件自学指南

李游Leo

鸿蒙 HarmonyOS

企业远程控制方案对比:系统平台适配向日葵最全面

科技热闻

Spring AI 使用教程

知识浅谈

AI SPringAI

【拥抱鸿蒙】HarmonyOS之构建一个自定义弹框

郑知鱼

华为 鸿蒙 HarmonyOS 移动端 HarmonyOS NEXT

鲲鹏创新大赛2025正式启动

科技热闻

翰德 Hudson 携手亚马逊云科技,基于 MCP Agent 重塑智能招聘新范式

亚马逊云科技 (Amazon Web Services)

HarmonyOS NEXT开发教程:全局悬浮窗

幽蓝计划

爬虫到智能数据分析:Bright Data × Kimi 智能洞察亚马逊电商产品销售潜力

不觉心动

前端使用正则表达式提取经纬度 度分秒值

刘大猫

正则表达式 人工智能 度分秒 度数 经纬度

鸿蒙仓颉语言开发教程:网络请求和数据解析

幽蓝计划

国内两公司近500万敏感信息泄露,含几十万老人及其家属数据_安全_万佳_InfoQ精选文章