От Fortune 500 до частных лиц: GPS-трекеры раскрыли корпоративные тайны

Производитель GPS-трекеров Hapn допустил утечку данных тысяч своих клиентов из-за уязвимости на одном из серверов. Об этом стало известно из материалов TechCrunch.

В ноябре исследователь кибербезопасности обнаружил, что сервер Hapn раскрывает имена пользователей и названия их мест работы. Утечка затрагивает тысячи записей, включая идентификаторы устройств, использующихся для отслеживания.

Hapn (ранее Spytec ) занимается разработкой и продажей GPS-трекеров для мониторинга местоположения транспортных средств, оборудования или личных вещей. Компания сообщает, что в ее системе числится свыше 460 000 активных устройств, среди владельцев которых есть крупные компании из списка Fortune 500. Продукция Spytec рекламируется как средство для защиты ценных вещей и «заботы о близких».

Обнаруженная уязвимость позволяет авторизованным пользователям получать доступ к конфиденциальным данным через инструменты разработчика в браузере. В опубликованных записях содержатся данные о более чем 8600 устройствах, включая уникальные IMEI-номера SIM-карт, а также имена и рабочие контакты владельцев. При этом информация о текущем местоположении устройств в утечке отсутствует.

На данный момент утекшие данные остаются доступными. Hapn не ответила на многочисленные запросы журналистов. Запросы на имя гендиректора компании также остались без ответа, а адрес электронной почты, указанный в политике конфиденциальности, оказался недействительным. На сайте компании также не предусмотрен раздел для уведомлений о выявленных уязвимостях.

Некоторые клиенты, чьи данные оказались в открытом доступе, подтвердили свою связь с устройствами, но предпочли не комментировать их использование. Одна из компаний, указанных на сайте Hapn как корпоративный клиент, также числится среди владельцев GPS-трекеров, информация о которых оказалась доступной.

Исследователь отметил, что начал изучать трекеры после того, как обратил внимание на отзывы покупателей, использующих устройства для слежки за супругами. На онлайн-платформах Spytec действительно размещены десятки отзывов о применении трекеров в подобных целях.

В числе утекших данных обнаружены записи о тысячах устройств с привязанными именами, но без указания дополнительной информации. Остается неизвестным, знают ли затронутые люди о факте отслеживания.