Perusahaan pelacakan GPS Hapn mengungkap nama ribuan pelanggannya karena bug situs web, menurut TechCrunch.
Seorang peneliti keamanan memberi tahu TechCrunch pada akhir November tentang nama dan afiliasi pelanggan – seperti nama tempat kerja mereka – yang keluar dari salah satu server Hapn, yang telah dilihat oleh TechCrunch.
Hapn, sebelumnya dikenal sebagai Spytec, adalah perusahaan pelacakan yang memungkinkan pengguna memantau lokasi perangkat pelacak internet secara real-time dari jarak jauh, yang dapat dipasang pada kendaraan atau peralatan lainnya. Perusahaan juga menjual pelacak GPS kepada konsumen dengan merek Spytecyang mengandalkan aplikasi Hapn untuk pelacakan. Spytec memuji perangkat GPS-nya untuk melacak lokasi harta benda berharga dan “orang-orang terkasih.” Menurut situs webnya, Hapn mengklaim melacak lebih dari 460.000 perangkat dan termasuk pelanggan dalam Fortune 500.
Bug ini memungkinkan siapa saja untuk masuk dengan akun Hapn untuk melihat data yang terbuka menggunakan alat pengembang di browser web mereka.
Data yang terungkap berisi informasi lebih dari 8.600 pelacak GPS, termasuk nomor IMEI kartu SIM di setiap pelacak, yang secara unik mengidentifikasi setiap perangkat. Data yang terekspos tidak mencakup data lokasi, namun ribuan catatan berisi nama dan afiliasi bisnis pelanggan yang memiliki, atau dilacak oleh, pelacak GPS.
Hapn belum menanggapi beberapa email dari TechCrunch. Nama pelanggan tetap terekspos pada saat penulisan.
Beberapa email ke CEO Hapn Joe Besdin tidak dibalas. Pesan yang dikirim ke alamat email yang tercantum pada kebijakan privasi perusahaan dikembalikan dengan kesalahan pentalan, mengatakan bahwa alamat email tidak ada. Perusahaan tidak memiliki halaman web atau formulir untuk melaporkan kerentanan keamanan.
Ketika kami menghubungi individu yang nama dan afiliasinya tercantum dalam data yang terbuka, beberapa orang mengkonfirmasi nama dan tempat kerja mereka namun menolak untuk membahas penggunaan pelacak GPS. Salah satu perusahaan yang terdaftar di situs web Hapn sebagai pelanggan korporat memiliki beberapa pelacak yang terdaftar dalam data yang terbuka, menurut TechCrunch.
Peneliti keamanan mengatakan mereka mulai mencari pelacak GPS setelah menemukan bahwa pelanggan telah meninggalkan ulasan online untuk perangkat yang merekomendasikan pelacak untuk memantau pasangan seseorang. (TechCrunch telah melihat lusinan ulasan di toko online Spytec dari pelanggan yang mengaku telah menggunakan perangkat GPS untuk melacak pasangan mereka.)
Daftar catatan pelanggan yang terekspos juga menunjukkan ribuan pelacak dengan nama terkait tetapi tidak ada afiliasi lain yang terlihat. Tidak diketahui apakah orang-orang tersebut sadar telah dilacak.
