A empresa de rastreamento GPS Hapn está expondo os nomes de milhares de seus clientes devido a um erro no site, descobriu o TechCrunch.
Um pesquisador de segurança alertou o TechCrunch no final de novembro sobre nomes e afiliações de clientes (como o nome do local de trabalho) vazando de um dos servidores da Hapn, que o TechCrunch viu.
A Hapn, anteriormente conhecida como Spytec, é uma empresa de rastreamento que permite aos usuários monitorar remotamente a localização em tempo real de dispositivos de rastreamento habilitados para Internet, que podem ser conectados a veículos ou outros equipamentos. A empresa também vende rastreadores GPS aos consumidores sob sua marca Spytecque dependem do aplicativo Hapn para rastreamento. A Spytec promove seus dispositivos GPS para rastrear a localização de bens valiosos e “entes queridos”. De acordo com seu site, a Hapn afirma rastrear mais de 460 mil dispositivos e tem clientes da Fortune 500.
O bug permite que qualquer pessoa faça login com uma conta Hapn para visualizar os dados expostos usando as ferramentas do desenvolvedor em seu navegador.
Os dados expostos contêm informações sobre mais de 8.600 rastreadores GPS, incluindo os números IMEI dos cartões SIM de cada rastreador, que identificam cada dispositivo de forma exclusiva. Os dados expostos não incluem dados de localização, mas milhares de registros contêm nomes e afiliações comerciais de clientes que possuem ou são rastreados por rastreadores GPS.
Hapn não respondeu a vários e-mails do TechCrunch. Os nomes dos clientes permanecem expostos no momento da redação.
Vários e-mails para o CEO da Hapn, Joe Besdin, não foram retornados. Uma mensagem enviada para um endereço de e-mail listado na política de privacidade da empresa retornou um erro de devolução informando que o endereço de e-mail não existe. A empresa não possui site ou formulário para relatar vulnerabilidades de segurança.
Quando contactámos pessoas cujos nomes e afiliações constavam dos dados expostos, várias pessoas confirmaram os seus nomes e locais de trabalho, mas recusaram-se a discutir a utilização do rastreador GPS. O TechCrunch descobriu que uma empresa listada no site da Hapn como cliente corporativo tinha vários rastreadores listados nos dados expostos.
O pesquisador de segurança disse que começou a investigar o rastreador GPS depois de descobrir que os clientes haviam deixado comentários online sobre os dispositivos, recomendando o rastreador para monitorar o cônjuge ou parceiro de uma pessoa. (O TechCrunch viu dezenas de comentários nas lojas online da Spytec de clientes que afirmam ter usado dispositivos GPS para rastrear seus cônjuges.)
A lista de registros de clientes expostos também mostra milhares de rastreadores com nomes associados, mas nenhuma outra afiliação discernível. Não se sabe se os indivíduos têm conhecimento de terem sido rastreados.
