Angelsense暴露的位置数据和追踪用户的个人信息

Angelsense是一家辅助技术公司，为残疾人提供位置监控设备，正在将个人身份信息和用户的精确位置数据溢出到Open Internet上，TechCrunch已经学会了。

公司周一确保了裸露的服务器，此前已有一周多的一周的时间警报了安全公司Upguard的研究人员的数据泄漏。

Upguard在Angelsense解决失误后，与TechCrunch共享了该暴露的细节。此后，Upguard发表了有关此事件的博客文章。

根据其移动应用程序上市，总部位于新泽西的Angelsense为数千个客户提供了GPS跟踪器和位置监控，并被美国的执法部门和警察部门吹捧。

根据Upguard的研究人员的说法，Angelsense在没有密码的情况下将内部数据库暴露于Internet，允许任何人访问数据内部仅使用Web浏览器和数据库公共IP地址的知识。该数据库正在存储来自Angelsense系统的实时更新日志，其中包括Angelsense客户的个人信息以及有关公司系统的技术日志。

Upguard说，它在裸露的数据库中发现了客户的个人数据，例如名称，邮政地址和电话号码。研究人员说，他们还发现受监测的个人的GPS坐标，包括有关追踪人员的相关健康信息，其中包括自闭症和痴呆症等疾病。 Upguard说，研究人员还发现了用于访问客户帐户的电子邮件地址，密码和身份验证令牌，以及部分信用卡信息 - 所有这些信息都是在宣传中可见的。 

目前尚不清楚数据库被暴露了多长时间，也不知道有多少客户受到影响。根据数据库在Shodan上的列表Angelsense的裸露登录数据库是一个面向互联网的设备和系统的搜索引擎，于1月14日在网上首次在网上发现，尽管它可能已经较早了。

Angelsense首席执行官Doron Somer向TechCrunch确认，该公司最初将Upguard的第一封电子邮件视为垃圾邮件。

“只有当Upguard给我们打电话时，这个问题才引起我们的注意，” Somer说。 “经过发现，我们迅速采取行动验证提供给我们的信息并纠正漏洞。”

“我们注意到，除了向上守卫之外，我们没有任何信息暗示可能访问了记录系统上的任何数据。我们也没有任何证据或迹象表明数据已被滥用或受到滥用的威胁，” Somer告诉TechCrunch，声称数据“不是敏感的个人信息。”

Somer不会说公司是否有技术手段来确定在Upguard发现之前是否可以访问未受保护的服务器。

当被问及该公司是否计划通知受影响的客户和数据暴露的个人时，萨默说该公司仍在调查中。

“如果有必要通知监管机构或人员，我们当然会提供。”

萨默尔没有回应新闻发布时间的后续调查。

数据库暴露通常是由于人为错误而不是恶意意图引起的错误配置的结果，并且近年来已成为越来越普遍的发生。裸露数据库的类似安全失误也导致了敏感的美国军事电子邮件的溢出，包含两因素代码的短信的实时泄漏以及来自AI Chatbots的聊天历史。