Cybernews研究人員發現上海孝信網絡的2個含有上百萬用戶數據的數據庫存在安全問題。其中一個數據庫屬於孝信通,隸屬於上海孝信網絡科技有限公司,運用互聯網+科技養老的新理念,致力於提高中國2億老人居家養老的生活質量,為老年人提供不同的app和服務。另外一個數據庫屬於上海延華智能科技,延華智能是一家智能建築與數字社區的全面服務商,面向辦公樓宇、住宅社區、工廠企業、教育科研、醫療衛生、政府機關、賓館酒店和市政工程等不同行業,專業從事智能建築工程總包業務,包括規劃、諮詢、設計、施工等服務。
數據庫中有什麼?
孝信通數據
研究人員確信第一個洩露的數據庫來自上海孝信網絡。為中國2億老年人提供智慧養老服務的孝信通數據庫中含有超過34萬條的GPS位置信息、手機號、地址、哈希的口令等敏感信息記錄。具體包括:
· 手機號、地址和GPS位置;
· 用戶親屬和監護人的姓名和手機號;
· 位置記錄(包括GPS座標和地址);
· 哈希的口令;
· SOS記錄和SOS記錄位置;
· 個人ID。
這34萬條數據中有28.5萬數據都是地址、GPS座標和個人ID信息。
疑似上海延華智能數據庫
研究人員懷疑第二個數據庫來自上海延華智能科技,但沒有十足的把握。第二個數據庫中含有420萬條記錄,也包含更多的敏感信息,包括員工健康監控數據、車輛相關的信息和設施信息等。數據庫的class分類中含有關鍵字:yhzn。
研究人員谷歌搜索yhzn的結果如下:
研究人員聯繫上海延華智能沒有任何回應。
數據庫中含有的信息具體包括:
個人信息
· 姓名、工作ID號、alarm和警告信息;
· 音頻文件和相關的名稱;
· 計步器和裝置電池強度;
· 用戶心率、氧氣濃度、和血壓信息;
· 項目和個人名稱;
· 包GPS位置;
· 個人的不同GPS位置信息。
車輛信息
· 車輛工作ID和車牌號、警報、社區重量、垃圾重量、社區數量等;
· 車輛GPS位置和記錄。
設施信息
· 設施名、報警類型、報警狀態、GPS位置。
其中大多數的記錄屬於GPS位置、設施數據和個人的GPS追蹤數據。
第二個數據庫中的個人音頻示例:
個人健康數據示例:
個人追蹤數據示例:
(車輛)每月的用油量報告示例:
誰可以訪問這兩個數據庫?
這兩個數據庫已經暴露一段時間了,兩個數據庫的記錄總數超過500萬條,主要是老年人和其家庭、智能樓宇和聯網車輛和員工的個人隱私信息。目前這兩個數據庫都已經關閉了。
目前還不確定數據庫在關閉之前有沒有惡意攻擊者訪問數據。因為訪問數據庫無需任何認證,因此可能數據庫已經被訪問過了。
事件進展
研究人員在發現不安全的數據庫後於2020年1月14日聯繫了數據庫所有者。孝信通很快就關閉了數據庫,但第二個數據庫是在聯繫了國家互聯網應急中心後於2020年3月5日關閉的。
