AngelSense, una empresa de tecnología de asistencia que proporciona dispositivos de monitoreo de ubicación para personas con discapacidades, estaba filtrando la información personal identificable y datos precisos de ubicación de sus usuarios a internet, según lo aprendido por TechCrunch. La empresa aseguró el servidor expuesto el lunes, más de una semana después de haber sido alertada sobre la filtración de datos por investigadores de la firma de seguridad UpGuard.
UpGuard compartió detalles de la exposición exclusivamente con TechCrunch después de que AngelSense resolviera la falla. UpGuard ha publicado una entrada de blog sobre el incidente. La empresa AngelSense con sede en Nueva Jersey proporciona rastreadores GPS y monitoreo de ubicación a miles de clientes, según la lista de su aplicación móvil, y es promocionada por las fuerzas del orden y departamentos de policía de Estados Unidos.
Según los investigadores de UpGuard, AngelSense dejó una base de datos interna expuesta a internet sin contraseña, lo que permitía a cualquiera acceder a los datos utilizando solo un navegador web y el conocimiento de la dirección IP pública de la base de datos. La base de datos almacenaba registros de actualización en tiempo real de un sistema de AngelSense, que incluía información personal de los clientes de AngelSense, así como registros técnicos sobre los sistemas de la empresa. UpGuard dijo que encontró datos personales de los clientes, como nombres, direcciones postales y números de teléfono en la base de datos expuesta. Los investigadores dijeron que también encontraron coordenadas GPS de las personas monitoreadas, incluida información de salud asociada sobre la persona rastreada, que incluía afecciones como autismo y demencia. También encontraron direcciones de correo electrónico, contraseñas y tokens de autenticación para acceder a cuentas de clientes, así como información parcial de tarjetas de crédito, todo lo cual estaba visible en texto sin formato, según UpGuard.
No se sabe exactamente cuánto tiempo estuvo expuesta la base de datos ni cuántos clientes se vieron afectados. Según la lista de la base de datos en Shodan, un motor de búsqueda de dispositivos y sistemas en internet, la base de datos de registro expuesta de AngelSense se detectó por primera vez en línea el 14 de enero, aunque podría haber estado expuesta algún tiempo antes. El director ejecutivo de AngelSense, Doron Somer, confirmó a TechCrunch que la empresa desconectó el servidor expuesto después de identificar inicialmente el primer correo electrónico de UpGuard como spam. «Fue solo cuando UpGuard nos llamó que el problema se destacó», dijo Somer. «Tras su descubrimiento, actuamos rápidamente para validar la información proporcionada y remediar la vulnerabilidad».
«No tenemos información que sugiera que alguien haya accedido potencialmente a algún dato en el sistema de registro. Tampoco tenemos pruebas o indicios de que los datos se hayan utilizado incorrectamente o estén bajo amenaza de uso indebido», dijo Somer a TechCrunch, afirmando que los datos «no eran información personal sensible». Somer no dijo si la empresa tiene los medios técnicos para determinar si hubo algún acceso al servidor no protegido antes del descubrimiento de UpGuard. Cuando se le preguntó si la empresa planeaba notificar a los clientes afectados y a las personas cuyos datos fueron expuestos, Somer dijo que la empresa aún estaba investigando.
«Si se justifica notificar a los reguladores o personas, por supuesto que lo haremos», dijo Somer. Somer no respondió a una consulta de seguimiento hasta la hora de cierre de la prensa. Las exposiciones de bases de datos suelen ser el resultado de configuraciones incorrectas causadas por error humano, en lugar de intenciones maliciosas, y se han convertido en una ocurrencia cada vez más común en los últimos años. Lapsos de seguridad similares de bases de datos expuestas han resultado en la filtración de correos electrónicos sensibles del ejército estadounidense, la filtración en tiempo real de mensajes de texto que contenían códigos de dos factores e historiales de chat de chatbots de inteligencia artificial.
