写点什么

国内两公司近 500 万敏感信息泄露,含几十万老人及其家属数据

  • 2020-07-10
  • 本文字数:1747 字

    阅读完需:约 6 分钟

国内两公司近500万敏感信息泄露,含几十万老人及其家属数据


近日,Cybernews 团队发现了两个不安全的数据库,总计大概有 500 万条记录,里面包含大量敏感信息,比如姓名、手机号和住址等。


据悉,这两个数据库分别属于中国两家公司,其中,第一个数据库为孝信通所有,第二个数据库可能与上海延华智能有关。属于孝信通的数据库包含老人敏感信息,有 GPS 位置、手机号码、地址、哈希密码等;而上海延华智能的数据库则包含更多的敏感数据,例如易解码的音频文件、姓名、员工 ID、心率、GPS 位置等。


目前,这两个数据库已经被关闭。

第一个数据库:超 30 万老人数据泄露

Cybernews 团队的研究表明,第一个数据库属于孝信通。公开资料显示,孝信通是上海孝信网络科技有限公司旗下的产品,该公司成立于 2015 年。据了解,孝信通是一个智能养老服务平台,产品由移动智能终端、老人手机端 APP、子女手机端 APP、专业人员手机端 APP、云服务平台组成,为老人提供“救、爱、健、助”服务。


而本次发现的孝信通数据库包含超过 34 万条记录,内容非常详细:


  • 手机号码

  • 地址

  • GPS 位置

  • 用户的亲人和其他监护人的姓名以及手机号

  • 位置轨迹(包括住址和 GPS 坐标)

  • 哈希密码

  • SOS 记录和 SOS 位置记录

  • 个人 ID


这些数据中,绝大部分(有近 28.5 万条记录)为地址、GPS 坐标和个人 ID 数据。

第二个数据库:泄露超 420 万数据

Cybernews 表示,虽然它可以确信第一个数据库属于孝信通,但是对于第二个数据库,它们还未完全确认它为上海延华智能所有。


据官网介绍:上海延华智能科技(集团)股份有限公司是一家智慧城市服务与运营商,旗下有智慧节能、智慧医疗、智能建筑与智慧社区、数据中心、智慧环保、智慧旅游等业务。公开资料显示,该公司 2019 年营收为 9.18 亿。


在查看第二个数据库的内容时,研究者发现大量相同的数据类型:设施、报警、员工健康监控数据和与车辆相关的信息。同时,它们还在这个数据库中发现带有“yhzn”关键字的条目。



研究者在谷歌中搜索“yhzn",结果显示”上海延华智能公司“,如下图:



Cybernews 称,“不幸的是,我们无法与该公司联系,从而进一步确认该数据库是否归属它们。”


第二个数据库包含超过 420 万的记录,且数据更为详细:


个人


  • 姓名、与工作相关的 ID 号码、报警和警告 ;

  • 音频文件和一些相关的姓名 ;

  • 计步器和设备电池强度 ;

  • 用户心率、oxygen level 和可能的血压 ;

  • 项目和人员名称 ;

  • Packet GPS locations;

  • 个人的多种 GPS 位置,包括个人足迹。


车辆


  • 车辆工作 ID 和车牌号、警报、垃圾重量、村庄数等总计数千个条目;

  • 车辆 GPS 位置和轨迹。


设施


  • 设施名称、报警类型、报警状态、GPS 位置;

  • 总的来说,这些记录中的大多数为车辆 GPS 位置和轨迹、设施的数据以及人员的 GPS 跟踪。


我们可以看看第二个数据库中的数据



个人音频记录示例



个人健康记录示例

后果

据悉,研究者并不清楚这两个数据库在网上暴露多长时间。因此,仍然不清楚是否有 bad actors 在数据库关闭前访问过这两个数据库。但是,问题在于仅具有中等技术知识的人就能访问该数据库,而无需任何身份验证,因此其他人仍然有可能访问它们。


实际上,有关特定运动的数据库以及来自这些数据库的健康数据可以为网络罪犯带来不同的回报。一种方式是网络犯罪分子在暗网上出售这些数据,每条数据记录甚至可以净赚 1 美元。另一种方式是和其他数据结合使用,犯罪分子可以利用它们进行电信诈骗、实施钓鱼攻击等。无论哪种方式,后果都很严重。


2019 年初,外网安全研究人员偶然发现一个没有被很好保护的 MongoDB 数据库服务器,整个实例包含 854GB 数据,共有 202,730,434 条记录,其中大部分是中国用户简历,内容非常详细,包括中文全名、家庭住址、电话号码、电子邮件、婚烟状况、政治关系、期望薪水等内容。


2020 年 5 月,泰国移动运营商 Advanced Info Service (AIS) 子公司 Advanced Wireless Network (AWN) 控制的 Elasticsearch 数据库可被公开访问,数据库中包含了约 83 亿记录,数据体量约为 4.7 TB,每 24 小时增加 2 亿记录。


在笔者盘点的 2019 年数据泄露事件中,我们经统计发现:数据库的在线公开是第二大数据泄露原因,占全部数据泄露事件的 16%。


数据泄露一旦发生就无法挽回,后果也不可预知。因为在互联网上,泄露的数据有可能以各种方法被滥用。


参考资料:


https://cybernews.com/security/unsecured-chinese-companies-leak-users-sensitive-personal-and-business-data/


2020-07-10 14:343379
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 375.6 次阅读, 收获喜欢 1805 次。

关注

评论

发布
暂无评论
发现更多内容

Java-Parallel GC介绍,springmvc面试题高级

Java 程序员 后端

JavaWeb Ajax详解,linux操作系统基础教程安俊秀课后答案

Java 程序员 后端

Java中的几种阻塞队列(1),mybatis返回主键原理

Java 程序员 后端

Java反射(1),java架构师薪资

Java 程序员 后端

Java发送邮件,字节跳动上千道精选面试题还不刷起来

Java 程序员 后端

java响应重定向发送post请求,spring+mybatis基础知识

Java 程序员 后端

Java-进阶:集合框架1(1),java分布式系统面试题

Java 程序员 后端

JavaFx:窗口切换和ListView以及TableView的值绑定,docker面试题

Java 程序员 后端

JavaWeb之Servlet技术(二),java基础程序设计题

Java 程序员 后端

Java中的程序控制流程,java面试常问知识

Java 程序员 后端

java反射map转实体类 实体转map,微服务架构的优缺点

Java 程序员 后端

java-集合-Map(双列)——迪迦重制版(1),关于线程池的五种实现方式

Java 程序员 后端

java8实战读书笔记:Lambda表达式语法与函数式编程接口

Java 程序员 后端

Java中使用Spring-security(一),java做视频直播

Java 程序员 后端

Java中高级核心知识全面解析——消息队列(1),看完这一篇就够了

Java 程序员 后端

Java-进阶:集合框架1,java三个技术平台

Java 程序员 后端

JavaWeb学习笔记6——事务实例,我的支付宝3面+美团4面+拼多多四面

Java 程序员 后端

Java中的几种阻塞队列,kalilinux渗透教程

Java 程序员 后端

Java中的初始化与清理,kafka参数调优

Java 程序员 后端

Java中的容器,Java开发进大厂面试必备技能

Java 程序员 后端

java8实战读书笔记:初识Stream、流的基本操作,nginx架构原理

Java 程序员 后端

Java在2018年的形势,MySQL优化原理分析及优化方案总结

Java 程序员 后端

Java基于TCP的网络编程,在阿里工作5年了

Java 程序员 后端

Java中的Type类型详解,javase菜鸟教程

Java 程序员 后端

Java中高级核心知识全面解析——Dubbo,kafka入门到精通文档

Java 程序员 后端

java-集合-Map(双列)——迪迦重制版,zookeeper面试

Java 程序员 后端

Java使用JDBC开发 之 DBCP连接池,保洁阿姨看完都会了

Java 程序员 后端

Java反射,mysql开发教程

Java 程序员 后端

Java垃圾回收机制小结以及优化建议,kafka的工作原理图

Java 程序员 后端

Java中高级核心知识全面解析——消息队列,mybatis映射原理

Java 程序员 后端

Java基础03 Java的运算符,阿里巴巴java性能调优

Java 程序员 后端

国内两公司近500万敏感信息泄露,含几十万老人及其家属数据_安全_万佳_InfoQ精选文章