TechCrunch’ın edindiği bilgiye göre, GPS izleme şirketi Hapn, web sitesindeki bir hata nedeniyle binlerce müşterisinin adını açığa çıkarıyor.
Bir güvenlik araştırmacısı Kasım ayı sonlarında TechCrunch’ı, TechCrunch’ın da gördüğü gibi Hapn sunucularından birinden müşteri adları ve bağlantılarının (işyerlerinin adı gibi) yayıldığı konusunda uyardı.
Eski adıyla Spytec olarak bilinen Hapn, kullanıcıların araçlara veya diğer ekipmanlara takılabilen internet özellikli takip cihazlarının gerçek zamanlı konumlarını uzaktan izlemelerine olanak tanıyan bir takip şirketidir. Şirket ayrıca takip için Hapn uygulamasına güvenen Spytec markası altında tüketicilere GPS takip cihazları da satıyor. Spytec, değerli eşyaların ve “sevdiklerinizin” konumlarını takip etmek için GPS cihazlarını öne çıkarıyor. Web sitesine göre Hapn, 460.000’den fazla cihazı takip ettiğini ve müşterilerini Fortune 500’e dahil ettiğini iddia ediyor.
Bu hata, herkesin Hapn hesabıyla oturum açarak açığa çıkan verileri web tarayıcılarındaki geliştirici araçlarını kullanarak görüntülemesine olanak tanıyor.
Açığa çıkan veriler, her bir izleyicideki SIM kartların her cihazı benzersiz şekilde tanımlayan IMEI numaraları da dahil olmak üzere 8.600’den fazla GPS izleyici hakkında bilgi içeriyor. Açığa çıkan veriler konum verilerini içermiyor ancak binlerce kayıt, GPS izleyicilerine sahip olan veya onlar tarafından takip edilen müşterilerin adlarını ve iş bağlantılarını içeriyor.
Hapn, TechCrunch’tan gelen çok sayıda e-postaya yanıt vermedi. Müşteri adları bu yazının yazıldığı sırada açıkta kalır.
Hapn CEO’su Joe Besdin’e gönderilen birçok e-posta yanıtsız kaldı. Şirketin gizlilik politikasında listelenen bir e-posta adresine gönderilen ve e-posta adresinin mevcut olmadığını belirten bir ileti geri dönme hatasıyla geri döndü. Şirketin güvenlik açıklarının bildirilmesine yönelik bir web sayfası veya formu bulunmamaktadır.
Açıklanan verilerde adları ve bağlantıları listelenen kişilerle temasa geçtiğimizde, birkaç kişi adlarını ve işyerlerini doğruladı ancak GPS izleyiciyi nasıl kullandıklarını tartışmayı reddetti. TechCrunch, Hapn’ın web sitesinde kurumsal müşteri olarak listelenen bir şirketin, açığa çıkan verilerde birden fazla izleyicinin listelendiğini gördü.
Güvenlik araştırmacısı, müşterilerin bir kişinin eşini veya partnerini izlemesi için izleyiciyi tavsiye eden cihazlar için çevrimiçi incelemeler bıraktığını gördükten sonra GPS izleyiciyi incelemeye başladıklarını söyledi. (TechCrunch, Spytec’in çevrimiçi mağazalarında GPS cihazlarını eşlerini takip etmek için kullandıklarını iddia eden müşterilerin düzinelerce incelemesini gördü.)
Açığa çıkan müşteri kayıtlarının listesi aynı zamanda ilgili adlara sahip ancak fark edilebilir başka bir bağlantısı olmayan binlerce izleyiciyi de gösteriyor. Şahısların takip edildiğinin farkında olup olmadığı bilinmiyor.
Kaynak: https://techcrunch.com/2024/12/18/tracker-firm-hapn-spilling-names-of-thousands-of-gps-tracking-customers/