QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

国内两公司近 500 万敏感信息泄露,含几十万老人及其家属数据

  • 2020-07-10
  • 本文字数:1747 字

    阅读完需:约 6 分钟

国内两公司近500万敏感信息泄露,含几十万老人及其家属数据


近日,Cybernews 团队发现了两个不安全的数据库,总计大概有 500 万条记录,里面包含大量敏感信息,比如姓名、手机号和住址等。


据悉,这两个数据库分别属于中国两家公司,其中,第一个数据库为孝信通所有,第二个数据库可能与上海延华智能有关。属于孝信通的数据库包含老人敏感信息,有 GPS 位置、手机号码、地址、哈希密码等;而上海延华智能的数据库则包含更多的敏感数据,例如易解码的音频文件、姓名、员工 ID、心率、GPS 位置等。


目前,这两个数据库已经被关闭。

第一个数据库:超 30 万老人数据泄露

Cybernews 团队的研究表明,第一个数据库属于孝信通。公开资料显示,孝信通是上海孝信网络科技有限公司旗下的产品,该公司成立于 2015 年。据了解,孝信通是一个智能养老服务平台,产品由移动智能终端、老人手机端 APP、子女手机端 APP、专业人员手机端 APP、云服务平台组成,为老人提供“救、爱、健、助”服务。


而本次发现的孝信通数据库包含超过 34 万条记录,内容非常详细:


  • 手机号码

  • 地址

  • GPS 位置

  • 用户的亲人和其他监护人的姓名以及手机号

  • 位置轨迹(包括住址和 GPS 坐标)

  • 哈希密码

  • SOS 记录和 SOS 位置记录

  • 个人 ID


这些数据中,绝大部分(有近 28.5 万条记录)为地址、GPS 坐标和个人 ID 数据。

第二个数据库:泄露超 420 万数据

Cybernews 表示,虽然它可以确信第一个数据库属于孝信通,但是对于第二个数据库,它们还未完全确认它为上海延华智能所有。


据官网介绍:上海延华智能科技(集团)股份有限公司是一家智慧城市服务与运营商,旗下有智慧节能、智慧医疗、智能建筑与智慧社区、数据中心、智慧环保、智慧旅游等业务。公开资料显示,该公司 2019 年营收为 9.18 亿。


在查看第二个数据库的内容时,研究者发现大量相同的数据类型:设施、报警、员工健康监控数据和与车辆相关的信息。同时,它们还在这个数据库中发现带有“yhzn”关键字的条目。



研究者在谷歌中搜索“yhzn",结果显示”上海延华智能公司“,如下图:



Cybernews 称,“不幸的是,我们无法与该公司联系,从而进一步确认该数据库是否归属它们。”


第二个数据库包含超过 420 万的记录,且数据更为详细:


个人


  • 姓名、与工作相关的 ID 号码、报警和警告 ;

  • 音频文件和一些相关的姓名 ;

  • 计步器和设备电池强度 ;

  • 用户心率、oxygen level 和可能的血压 ;

  • 项目和人员名称 ;

  • Packet GPS locations;

  • 个人的多种 GPS 位置,包括个人足迹。


车辆


  • 车辆工作 ID 和车牌号、警报、垃圾重量、村庄数等总计数千个条目;

  • 车辆 GPS 位置和轨迹。


设施


  • 设施名称、报警类型、报警状态、GPS 位置;

  • 总的来说,这些记录中的大多数为车辆 GPS 位置和轨迹、设施的数据以及人员的 GPS 跟踪。


我们可以看看第二个数据库中的数据



个人音频记录示例



个人健康记录示例

后果

据悉,研究者并不清楚这两个数据库在网上暴露多长时间。因此,仍然不清楚是否有 bad actors 在数据库关闭前访问过这两个数据库。但是,问题在于仅具有中等技术知识的人就能访问该数据库,而无需任何身份验证,因此其他人仍然有可能访问它们。


实际上,有关特定运动的数据库以及来自这些数据库的健康数据可以为网络罪犯带来不同的回报。一种方式是网络犯罪分子在暗网上出售这些数据,每条数据记录甚至可以净赚 1 美元。另一种方式是和其他数据结合使用,犯罪分子可以利用它们进行电信诈骗、实施钓鱼攻击等。无论哪种方式,后果都很严重。


2019 年初,外网安全研究人员偶然发现一个没有被很好保护的 MongoDB 数据库服务器,整个实例包含 854GB 数据,共有 202,730,434 条记录,其中大部分是中国用户简历,内容非常详细,包括中文全名、家庭住址、电话号码、电子邮件、婚烟状况、政治关系、期望薪水等内容。


2020 年 5 月,泰国移动运营商 Advanced Info Service (AIS) 子公司 Advanced Wireless Network (AWN) 控制的 Elasticsearch 数据库可被公开访问,数据库中包含了约 83 亿记录,数据体量约为 4.7 TB,每 24 小时增加 2 亿记录。


在笔者盘点的 2019 年数据泄露事件中,我们经统计发现:数据库的在线公开是第二大数据泄露原因,占全部数据泄露事件的 16%。


数据泄露一旦发生就无法挽回,后果也不可预知。因为在互联网上,泄露的数据有可能以各种方法被滥用。


参考资料:


https://cybernews.com/security/unsecured-chinese-companies-leak-users-sensitive-personal-and-business-data/


2020-07-10 14:343147
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 367.0 次阅读, 收获喜欢 1802 次。

关注

评论

发布
暂无评论
发现更多内容

IntellJ IDEA诺依开发部署文档

北极的大企鹅

开源 开源技术

Vue3 企业级网站建设

源字节1号

小程序 开源 前端开发

kube-scheduler源码分析(3)-抢占调度分析

良凯尔

Kubernetes 容器 源码分析 云原生 容器云

八个Docker的真实应用场景

hongfei

Docker 容器

基于开源组件打造Kafka自治集群

俞凡

架构 Slack 大厂实践 3月月更

一日为期,极行千里 ——「企业级零代码黑客马拉松」正式启动报名

明道云

Java八股文1—Java平台概览

javaadu

Java 面试题 Java八股文

微博评论高性能高可用架构

smile

架构实战营

《软件开发的201个原则》思考:1.质量第一

非晓为骁

个人成长 软件开发 软件质量 工程师文化

Linux之rcp命令

入门小站

Linux

算法训练营总结

施正威

全链路压测(七):核心链路四问

老张

性能测试 全链路压测 稳定性保障

模块5课后作业

苍狼

课后总结 模块五 架构训练营5期

[算法练习]3 三数之和

暖蓝笔记

3月月更 38妇女节

图解黑客DNS攻击

喀拉峻

网络安全

云端网络的三大场景概述

穿过生命散发芬芳

3月月更

低代码实现探索(三十八)业务场景封装

零道云-混合式低代码平台

【Vue】整合tinymce富文本编辑器

TaurusCode

Vue tinymce 富文本编辑器

2022第10周-职业素养被触动的瞬间

李印

总结思考

微博评论高性能高可用计算架构设计

「架构实战营」

不得不知道系列之探活机制

梦朝思夕

高可用 网关 健康检查 服务探活 探活

在线上传图片二维码识别解析

入门小站

工具

12个iOS技术面试题及答案总结

原来是泽镜啊

ios 程序员 架构师 ios开发

【CAD】快捷键大全

謓泽

3月月更

ModelArts框架入门开发(完成物体分类、物体检测)

DS小龙哥

深度学习 3月月更

实用机器学习笔记二十七:深度神经网络架构

打工人!

深度学习 学习笔记 机器学习算法 3月月更

《减压脑科学》有田秀穗

xujiangniao

读书

小程序大未来

源字节1号

微信小程序 开源 前端开发 后端开发

Shell速查手册

陈新卫

JavaScript 基础(二):函数

devpoint

JavaScript 作用域 函数绑定 3月月更

订单系统的设计(20/100)

hackstoic

技术架构

国内两公司近500万敏感信息泄露,含几十万老人及其家属数据_安全_万佳_InfoQ精选文章