کمیته رکن چهارم – شرکت AngelSense که خدمات نظارت بر موقعیت مکانی افراد دارای معلولیت را ارائه میدهد، به دلیل آسیبپذیری یکی از سرورهایش، اطلاعات حساس کاربران را ناخواسته در دسترس عموم قرار داد. این نشت اطلاعات توسط شرکت امنیتی UpGuard شناسایی و گزارش شد. پایگاه داده این شرکت بدون محافظت کافی به اینترنت متصل بوده و هر فردی با دسترسی به آدرس آیپی آن میتوانست اطلاعات کاربران را مشاهده کند.
به گزارش کمیته رکن چهارم، اطلاعات ذخیرهشده در سرور شرکت AngelSense شامل نامها، آدرسها، شماره تلفنها، مختصات GPS و جزئیات پزشکی کاربران بوده است. محققان UpGuard اعلام کردند که ایمیلها، رمزهای عبور و بخشی از اطلاعات کارتهای اعتباری نیز بدون هیچگونه رمزنگاری و بهصورت متن ساده (plaintext) ذخیره شده بودند. این امر به هر فردی که به پایگاه داده دسترسی پیدا کند، امکان مشاهده مستقیم اطلاعات حساس را میداد. چنین وضعیتی خطر سوءاستفاده از دادهها را بهشدت افزایش میدهد، زیرا این اطلاعات بهراحتی قابل دسترسی و کپیبرداری هستند. برای جلوگیری از چنین نشتهایی، معمولاً از رمزنگاری دادهها استفاده میشود.
این پایگاه داده در تاریخ ۱۴ ژانویه توسط موتور جستجوی Shodan رصد شده و ممکن است پیش از آن نیز برای مدتی در دسترس بوده باشد. تاکنون مشخص نیست چه تعداد از کاربران تحت تأثیر این نشت قرار گرفتهاند و سرور دقیقاً چه مدت آسیبپذیر بوده است. با این حال، AngelSense پس از هشدار UpGuard اقدامات ایمنی را انجام داد.
درون سومر، مدیرعامل این شرکت، اظهار داشت که پس از دریافت تماس تلفنی از UpGuard، سرور آسیبپذیر از دسترس خارج شده است. او گفت که ایمیل اولیه هشدار به اشتباه به عنوان اسپم شناسایی شده بود. وی افزود که تاکنون مدرکی دال بر سوءاستفاده از اطلاعات مشاهده نشده و شرکت همچنان در حال بررسیهای بیشتر است.
AngelSense اعلام کرده که هنوز در حال ارزیابی وضعیت نشت اطلاعات و اطلاعرسانی به مشتریان و مراجع نظارتی است. این نشت امنیتی در شرایطی رخ داده که شرکتهای فعال در حوزه فناوریهای نظارتی با چالشهای فزایندهای در حفاظت از دادههای حساس مواجه هستند.
