54万辆汽车跟踪设备密码泄露在线

全球资讯 2个月前 (09-23) 643 人围观 0

另一天,有关数据泄露的另一个消息,虽然这是令人不安的。

属于车辆跟踪设备公司SVR Tracking的超过五十万条记录的登录凭证已经在线泄漏,可能会暴露使用其服务的司机和企业的个人数据和车辆详细信息。

就在两天之前,Viacom被发现在一个不安全的Amazon S3服务器上暴露了它的王国的钥匙,而这个数据泄露又是将错误配置的云服务器上的敏感数据存储在另一个例子中。

Kromtech安全中心首先发现一个面向公众的公开面对的错误配置的Amazon Web Server(AW​​S)S3云存储桶,其中包含属于SVR的缓存,该缓存在未知时间内可被公开访问。

对于被盗车辆记录,SVR跟踪服务允许客户通过在一个谨慎的位置附加一个物理跟踪设备来跟踪车辆,所以他们的客户可以监控和恢复车辆,以防车辆被盗。

泄漏的缓存包含大约54万个SVR帐户的详细信息,包括电子邮件地址和密码,以及用户的车辆数据,如VIN(车辆识别号码),GPS设备的IMEI号码。

由于泄露的密码是使用SHA-1存储的,这是由美国国家安全局(NSA)设计的20年的弱密码散列函数,可以轻松破解。

泄露的数据库还暴露了339个日志,其中包含有关车辆状态和维护记录的照片和数据,以及包含使用SVR跟踪服务的427个经销商的信息的文档。

有趣的是,暴露的数据库还包含在车辆中完全隐藏物理跟踪单元的信息。

据Kromtech说,由于许多经销商或客户拥有大量的跟踪设备,所以暴露的设备总数可能会更大。“

由于SVR的汽车跟踪设备在过去120天内对车辆进行了监控,因此任何能够访问SVR用户登录凭据的人都可以实时跟踪车辆,并使用任何互联网连接的设备创建每个位置的详细日志,例如桌面,笔记本电脑,手机或平板电脑。

最终,当他们知道一名汽车的车主出站时,攻击者可能彻底盗取车辆,甚至抢劫家中。

Kromtech负责警告公司配置错误的AWS S3云存储桶,此后已被保护。但是,目前还不清楚是否有黑客可以访问公开访问的数据。