Công ty theo dõi GPS Hapn đã tiết lộ tên của hàng nghìn khách hàng của mình do một lỗi trên trang web, TechCrunch đã tìm hiểu được.
Một nhà nghiên cứu bảo mật đã thông báo cho TechCrunch vào cuối tháng 11 về tên và liên kết của khách hàng - chẳng hạn như tên nơi làm việc của họ - lộ từ một trong các máy chủ của Hapn, mà TechCrunch đã nhìn thấy.
Hapn, trước đây được biết đến với tên Spytec, là một công ty theo dõi cho phép người dùng theo dõi từ xa vị trí thời gian thực của các thiết bị theo dõi kết nối internet, có thể được gắn vào xe hoặc trang thiết bị khác. Công ty cũng bán các thiết bị theo dõi GPS cho người tiêu dùng dưới thương hiệu Spytec của mình, mà người dùng dựa vào ứng dụng Hapn để theo dõi. Spytec quảng cáo các thiết bị GPS của mình để theo dõi vị trí của tài sản quý giá và người thân yêu. Theo trang web của mình, Hapn tuyên bố theo dõi hơn 460.000 thiết bị và có khách hàng trong Fortune 500.
Lỗi này cho phép bất kỳ ai cũng có thể đăng nhập bằng tài khoản Hapn để xem dữ liệu bị tiết lộ bằng cách sử dụng công cụ phát triển trong trình duyệt web của họ.
Dữ liệu bị tiết lộ chứa thông tin về hơn 8.600 thiết bị theo dõi GPS, bao gồm các số IMEI cho các thẻ SIM trong mỗi thiết bị, mà định danh mỗi thiết bị một cách duy nhất. Dữ liệu bị tiết lộ không bao gồm dữ liệu vị trí, nhưng hàng nghìn bản ghi chứa tên và liên kết với doanh nghiệp của khách hàng sở hữu, hoặc bị theo dõi bởi, các thiết bị theo dõi GPS.
Hapn không phản hồi qua nhiều email từ TechCrunch. Một số email gửi đến Giám đốc điều hành Hapn Joe Besdin không được trả lời trước khi được công bố. Một tin nhắn gửi đến một địa chỉ email được liệt kê trong chính sách bảo mật của công ty đã trả về với một lỗi trả lại, cho biết địa chỉ email không tồn tại. Công ty không có trang web hoặc biểu mẫu để báo cáo các lỗ hổng bảo mật.
Trong một email được cung cấp cho TechCrunch sau khi công bố, Giám đốc điều hành Hapn Joe Besdin cho biết rằng công ty không có khả năng biết về việc dữ liệu bị tiết lộ trước khi công bố và rằng dữ liệu bị giới hạn chỉ cho ba tài khoản khách hàng, mỗi tài khoản có một số lượng lớn các thiết bị theo dõi. Besdin nói rằng các bản ghi bị tiết lộ liên quan đến dữ liệu từ tháng 4 năm 2024.
Besdin nói rằng vấn đề bảo mật đã được giải quyết.
Khi chúng tôi liên lạc với những người mà tên và liên kết của họ được liệt kê trong dữ liệu bị tiết lộ, một số người xác nhận tên và nơi làm việc của họ nhưng từ chối thảo luận việc sử dụng thiết bị theo dõi GPS. Một công ty được liệt kê trên trang web của Hapn là một khách hàng doanh nghiệp có một số thiết bị theo dõi được liệt kê trong dữ liệu bị tiết lộ, TechCrunch đã nhìn thấy.
Nhà nghiên cứu bảo mật cho biết họ đã bắt đầu xem xét thiết bị theo dõi GPS sau khi phát hiện ra rằng khách hàng đã để lại những đánh giá trực tuyến cho các thiết bị khuyên dùng sử dụng thiết bị theo dõi để theo dõi vợ hoặc bạn đối tác của họ. (TechCrunch đã nhìn thấy hàng chục đánh giá trên các cửa hàng trực tuyến của Spytec từ khách hàng tuyên bố rằng họ đã sử dụng các thiết bị GPS để theo dõi vợ hoặc chồng.)
Danh sách các bản ghi khách hàng bị tiết lộ cũng cho thấy hàng nghìn thiết bị theo dõi có tên đi kèm nhưng không có liên kết rõ ràng khác. Không biết liệu những người này có ý thức về việc đã bị theo dõi hay không.
Cập nhật với bình luận sau công bố từ Hapn.
