限时!亚马逊云科技云从业者认证考试五折,未过免费补考!更有好礼相送! 了解详情
写点什么

国内两公司近 500 万敏感信息泄露,含几十万老人及其家属数据

  • 2020-07-10
  • 本文字数:1747 字

    阅读完需:约 6 分钟

国内两公司近500万敏感信息泄露,含几十万老人及其家属数据


近日,Cybernews 团队发现了两个不安全的数据库,总计大概有 500 万条记录,里面包含大量敏感信息,比如姓名、手机号和住址等。


据悉,这两个数据库分别属于中国两家公司,其中,第一个数据库为孝信通所有,第二个数据库可能与上海延华智能有关。属于孝信通的数据库包含老人敏感信息,有 GPS 位置、手机号码、地址、哈希密码等;而上海延华智能的数据库则包含更多的敏感数据,例如易解码的音频文件、姓名、员工 ID、心率、GPS 位置等。


目前,这两个数据库已经被关闭。

第一个数据库:超 30 万老人数据泄露

Cybernews 团队的研究表明,第一个数据库属于孝信通。公开资料显示,孝信通是上海孝信网络科技有限公司旗下的产品,该公司成立于 2015 年。据了解,孝信通是一个智能养老服务平台,产品由移动智能终端、老人手机端 APP、子女手机端 APP、专业人员手机端 APP、云服务平台组成,为老人提供“救、爱、健、助”服务。


而本次发现的孝信通数据库包含超过 34 万条记录,内容非常详细:


  • 手机号码

  • 地址

  • GPS 位置

  • 用户的亲人和其他监护人的姓名以及手机号

  • 位置轨迹(包括住址和 GPS 坐标)

  • 哈希密码

  • SOS 记录和 SOS 位置记录

  • 个人 ID


这些数据中,绝大部分(有近 28.5 万条记录)为地址、GPS 坐标和个人 ID 数据。

第二个数据库:泄露超 420 万数据

Cybernews 表示,虽然它可以确信第一个数据库属于孝信通,但是对于第二个数据库,它们还未完全确认它为上海延华智能所有。


据官网介绍:上海延华智能科技(集团)股份有限公司是一家智慧城市服务与运营商,旗下有智慧节能、智慧医疗、智能建筑与智慧社区、数据中心、智慧环保、智慧旅游等业务。公开资料显示,该公司 2019 年营收为 9.18 亿。


在查看第二个数据库的内容时,研究者发现大量相同的数据类型:设施、报警、员工健康监控数据和与车辆相关的信息。同时,它们还在这个数据库中发现带有“yhzn”关键字的条目。



研究者在谷歌中搜索“yhzn",结果显示”上海延华智能公司“,如下图:



Cybernews 称,“不幸的是,我们无法与该公司联系,从而进一步确认该数据库是否归属它们。”


第二个数据库包含超过 420 万的记录,且数据更为详细:


个人


  • 姓名、与工作相关的 ID 号码、报警和警告 ;

  • 音频文件和一些相关的姓名 ;

  • 计步器和设备电池强度 ;

  • 用户心率、oxygen level 和可能的血压 ;

  • 项目和人员名称 ;

  • Packet GPS locations;

  • 个人的多种 GPS 位置,包括个人足迹。


车辆


  • 车辆工作 ID 和车牌号、警报、垃圾重量、村庄数等总计数千个条目;

  • 车辆 GPS 位置和轨迹。


设施


  • 设施名称、报警类型、报警状态、GPS 位置;

  • 总的来说,这些记录中的大多数为车辆 GPS 位置和轨迹、设施的数据以及人员的 GPS 跟踪。


我们可以看看第二个数据库中的数据



个人音频记录示例



个人健康记录示例

后果

据悉,研究者并不清楚这两个数据库在网上暴露多长时间。因此,仍然不清楚是否有 bad actors 在数据库关闭前访问过这两个数据库。但是,问题在于仅具有中等技术知识的人就能访问该数据库,而无需任何身份验证,因此其他人仍然有可能访问它们。


实际上,有关特定运动的数据库以及来自这些数据库的健康数据可以为网络罪犯带来不同的回报。一种方式是网络犯罪分子在暗网上出售这些数据,每条数据记录甚至可以净赚 1 美元。另一种方式是和其他数据结合使用,犯罪分子可以利用它们进行电信诈骗、实施钓鱼攻击等。无论哪种方式,后果都很严重。


2019 年初,外网安全研究人员偶然发现一个没有被很好保护的 MongoDB 数据库服务器,整个实例包含 854GB 数据,共有 202,730,434 条记录,其中大部分是中国用户简历,内容非常详细,包括中文全名、家庭住址、电话号码、电子邮件、婚烟状况、政治关系、期望薪水等内容。


2020 年 5 月,泰国移动运营商 Advanced Info Service (AIS) 子公司 Advanced Wireless Network (AWN) 控制的 Elasticsearch 数据库可被公开访问,数据库中包含了约 83 亿记录,数据体量约为 4.7 TB,每 24 小时增加 2 亿记录。


在笔者盘点的 2019 年数据泄露事件中,我们经统计发现:数据库的在线公开是第二大数据泄露原因,占全部数据泄露事件的 16%。


数据泄露一旦发生就无法挽回,后果也不可预知。因为在互联网上,泄露的数据有可能以各种方法被滥用。


参考资料:


https://cybernews.com/security/unsecured-chinese-companies-leak-users-sensitive-personal-and-business-data/


2020-07-10 14:342866
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 347.0 次阅读, 收获喜欢 1799 次。

关注

评论

发布
暂无评论
发现更多内容

2022年中国数字疗法市场洞察

易观分析

医疗

【愚公系列】2022年10月 Go教学课程 036-类型断言

愚公搬代码

10月月更

Python运算符有哪些你清楚吗

芥末拌个饭吧

后端 python 3.5+ 10月月更

python有哪些格式化输出的方法

芥末拌个饭吧

后端 python 3.5+ 10月月更

SAP CDS entity 中使用 @readonly 进行访问控制

汪子熙

CDS SAP abap 10月月更

C++精通之路:红黑树的应用(模拟实现map/set)

雪芙花

c c++ 10月月更

趁年少,多读书

暮春零贰

读书笔记 10月月更

[HCTF 2018]WarmUp题解(较为详细的)

w010w

Web CTF 每日一题 10月月更

极客时间运维进阶训练营第一周作业

老曹

“程”风破浪的开发者 | 基建及团队建设的方法论

甜点cc

团队管理 学习方法 基建 “程”风破浪的开发者

如何提高Docker容器的安全性

乌龟哥哥

10月月更

ubuntu使用apt-get安装docker

忙着长大#

Ubuntu20.04

如何用crontab实现Python定时任务

芥末拌个饭吧

后端 python 3.5+ 10月月更

liunx:进程概念

雪芙花

c c++ 10月月更

git fetch&pull讲解 | Git

Appleex

git

数据湖(八):Iceberg数据存储格式

Lansonli

数据湖 10月月更

“程”风破浪的开发者 | 关于web3.0远离银手镯比什么都重要!

王中阳Go

区块链 NFT Web3.0 10月月更 “程”风破浪的开发者

在线问题反馈模块实战(十三)​:实现多参数分页查询列表

bug菌

springboot 项目开发 10月月更

再聊加班的感受

李印

成长感悟

一起学习 Go 语言设计模式之设计模式概述

宇宙之一粟

设计模式 Go 语言 10月月更

C++进阶之哈希(unordered_map/set的使用及其模拟)

雪芙花

c c++ 10月月更

微服务的常见架构方式

乌龟哥哥

10月月更

消息推送渠道那么多,该怎么设计消息中心?

产品海豚湾

产品经理 产品设计 消息系统 产品架构 10月月更

golang中的字符串

六月的

golang 字符串

谈谈曾经做的一个测试报告平台(1)

MegaQi

Python 测试平台 10月月更

HashMap 源码分析(五)

知识浅谈

HashMap底层原理 10月月更

JS事件,你真的懂吗(捕获,冒泡)?

乌龟哥哥

10月月更

【ArchSummit】众安金融微服务架构演进实战

小明Java问道之路

架构 微服务 全球架构师峰会 ArchSummit 10月月更

docker数据卷使用

忙着长大#

,docker

【web 开发基础】PHP 快速入门(7)-PHP 运算符之比较运算符详解

迷彩

10月月更 PHP基础 比较运算符

Web3.0杂谈-#008(55/100)

hackstoic

Web3.0

国内两公司近500万敏感信息泄露,含几十万老人及其家属数据_安全_万佳_InfoQ精选文章