Empresa de tecnología de monitoreo ha expuesto datos de sus usuarios
Una reconocida empresa de tecnología de asistencia, llamada AngelSense, la cual proporciona dispositivos de seguimiento para ubicación de personas con discapacidades, estaba filtrando información personal y datos de ubicación precisos de sus usuarios a Internet, según confirmaciones de varios medios digitales y especializados en ciberseguridad.
La compañía aseguró el servidor expuesto hace unos días, más de 1 semana después de que los expertos de una firma de seguridad digital le avisaran de la fuga de los datos. La empresa en cuestión compartió los detalles de la exposición, luego de que AngelSense resolviera el problema.
Esta organización, AngelSense, proporciona rastreadores GPS y de seguimiento de ubicación a miles de clientes, según un listado de su aplicación móvil. Además, es promocionada por departamentos de policía y de seguridad pública de países como los Estados Unidos.
Según los investigadores, AngelSense dejó abierta una base de datos interna expuesta a Internet sin contraseña, permitiendo que cualquiera pueda acceder a los datos que contiene, empleando solo un navegador web y el conocimiento de la dirección IP pública de la base de datos.
Dicha base de datos almacenaba registros de actualización en tiempo real de un sistema AngelSense, el cual incluía información personal de los clientes de esta compañía, así como algunos registros técnicos acerca de los sistemas de la empresa.
Los especialistas manifestaron que encontraron datos personales de los clientes, como nombres, direcciones postales y números telefónicos en la base de datos expuesta. Además, señalaron que encontraron coordenadas GPS de ciudadanos que estaban siendo monitoreados, con información de salud asociada como autismo y demencia.
Del mismo modo, encontraron direcciones de correo electrónico, contraseñas y tokens de autenticación para acceder a las cuentas de los clientes, así como información parcial de tarjetas de crédito, y todo esto era visible en texto sin formato.
No es del todo exacto saber cuánto tiempo estuvo expuesta la base de datos o cuántos clientes se vieron afectados. Según un listado de esta base de datos en Shodan, un motor de búsqueda de dispositivos y sistemas conectados a Internet, dicha base de datos se detectó por primera vez el 14 de enero, aunque es posible que haya sido expuesta antes.
TIC Defense se encarga de proporcionar la tecnología necesaria para que tu empresa no sufra intrusiones o ataques de algún tipo. Tenemos servicios, herramientas, productos y soluciones que se ajustan a las necesidades de tu organización.
Asimismo, el director ejecutivo de AngelSense ha confirmado a medios digitales que siguen esta acontecimiento, que la empresa desconectó el servidor expuesto después de identificar inicialmente el primer correo electrónico de una empresa de seguridad como spam.
Fue solo cuando la organización de ciberseguridad contactó a AngelSense por teléfono para informarle del problema que, tras descubrirlo, actuaron rápidamente para validar la información que proporcionaron y arreglar la vulnerabilidad.
Se ha observado que, aparte de empresas de ciberseguridad, no se ha tenido información que sugiera que se haya accedido potencialmente a algún dato del sistema de registro. De igual manera, AngelSense no tiene ninguna prueba o indicación de que los datos hayan sido mal utilizados o que se encuentren bajo amenaza de mal uso.
