Perusahaan pelacak GPS Hapn mengungkap nama ribuan pelanggannya karena adanya bug di situs web, seperti yang diketahui oleh TechCrunch.
Seorang peneliti keamanan memberi tahu TechCrunch pada akhir November tentang nama-nama dan afiliasi pelanggan - seperti nama tempat kerja mereka - yang bocor dari salah satu server Hapn, yang telah dilihat oleh TechCrunch.
Hapn, sebelumnya dikenal sebagai Spytec, adalah perusahaan pelacak yang memungkinkan pengguna memantau lokasi waktu nyata perangkat pelacak yang terhubung ke internet, yang dapat dipasang pada kendaraan atau peralatan lainnya. Perusahaan ini juga menjual pelacak GPS kepada konsumen di bawah merek Spytec-nya, yang mengandalkan aplikasi Hapn untuk pelacakan. Spytec memuji perangkat GPS-nya untuk melacak lokasi harta berharga dan “orang yang dicintai.” Menurut situs webnya, Hapn mengklaim melacak lebih dari 460.000 perangkat dan memiliki pelanggan di dalam Fortune 500.
Bug tersebut memungkinkan siapa pun untuk masuk dengan akun Hapn untuk melihat data yang bocor menggunakan alat pengembang di peramban web mereka.
Data yang terbuka berisi informasi tentang lebih dari 8.600 pelacak GPS, termasuk nomor IMEI untuk kartu SIM di setiap pelacak, yang secara unik mengidentifikasi setiap perangkat. Data yang terbuka tidak termasuk data lokasi, tetapi ribuan catatan berisi nama dan afiliasi bisnis pelanggan yang memiliki, atau dilacak oleh, pelacak GPS.
Hapn tidak merespons beberapa email dari TechCrunch. Beberapa email ke CEO Hapn Joe Besdin tidak dijawab sebelum publikasi. Pesan yang dikirim ke alamat email yang terdaftar di kebijakan privasi perusahaan mengembalikan error bounce, mengatakan bahwa alamat email tersebut tidak ada. Perusahaan tidak memiliki halaman web atau formulir untuk melaporkan kerentanan keamanan.
Dalam sebuah email yang diberikan kepada TechCrunch setelah publikasi, CEO Hapn Joe Besdin mengatakan bahwa perusahaan tidak memiliki pengetahuan tentang paparan sebelum publikasi dan bahwa data terbatas pada tiga akun pelanggan, masing-masing dengan sejumlah pelacak yang besar. Besdin mengatakan catatan yang terbuka menyangkut data dari April 2024.
Besdin mengatakan masalah keamanan tersebut sudah teratasi.
Ketika kami menghubungi individu yang nama dan afiliasinya terdaftar dalam data yang terbuka, beberapa orang mengonfirmasi nama dan tempat kerja mereka namun menolak untuk membahas penggunaan mereka terhadap pelacak GPS. Satu perusahaan yang terdaftar di situs web Hapn sebagai pelanggan korporat memiliki beberapa pelacak yang terdaftar dalam data yang terbuka, seperti yang dilihat oleh TechCrunch.
Peneliti keamanan mengatakan mereka mulai menyelidiki pelacak GPS setelah menemukan bahwa pelanggan meninggalkan ulasan online untuk perangkat tersebut merekomendasikan pelacak untuk memantau pasangan atau mitra. (TechCrunch telah melihat puluhan ulasan di toko online Spytec dari pelanggan yang mengklaim telah menggunakan perangkat GPS untuk melacak pasangan mereka.)
Daftar catatan pelanggan yang terbuka juga menunjukkan ribuan pelacak dengan nama yang terkait namun tanpa afiliasi yang dapat dikenali lainnya. Tidak diketahui apakah individu-individu tersebut menyadari adanya pelacakan terhadap mereka.
Diperbarui dengan komentar pasca-publikasi dari Hapn.
