Setembre 26, 2017

Les credencials d’aproximadament mig milió de dispositius de seguiment de vehicles es van filtrar en línia

En un altre cas d’incompliment accidental de dades, les credencials d’inici de sessió han estat superades 540,000 registres pertanyents a la companyia de dispositius de rastreig de vehicles Servei de seguiment SVR s'han filtrat en línia a causa d'un servidor de núvol mal configurat, exposant potencialment les dades personals i els detalls del vehicle dels conductors i empreses que utilitzen el seu servei.

Credencials-de-aproximadament-la-meitat-d'un-milió-de-dispositius-de-seguiment-de-cotxes-filtrats-en línia.

 

SVR (Stolen Vehicle Records) Tracking, una empresa que afirma especialitzar-se en la "recuperació de vehicles", permet als seus clients fer un seguiment dels seus vehicles en temps real connectant un dispositiu de seguiment físic als vehicles en una ubicació discreta perquè puguin controlar-los i recuperar-los a en cas que els seus vehicles siguin robats.

Segons investigadors del Centre de seguretat de Kromtech, que van descobrir per primera vegada l’incompliment, les dades exposades inclouen les credencials del compte dels usuaris de SVR, inclosos els identificadors de correu electrònic, les contrasenyes, les dades del vehicle (com ara els números de VIN i les matrícules), els números IMEI dels dispositius GPS i altres dades que es recopila als seus dispositius, clients i concessionaris d’automòbils. Les dades es van exposar mitjançant un fitxer dipòsit d’emmagatzematge en núvol S3 d’Amazon Web Server (AWS) insegur que es va deixar disponible públicament.

Curiosament, la base de dades exposada també contenia informació on es trobava amagada exactament la unitat de seguiment al cotxe. Els investigadors van destacar això les contrasenyes filtrades estaven protegides per l'algoritme de hash SHA-1 feble que era fàcil de trencar.

Segons Kromtech, el nombre total de dispositius exposats "podria ser molt més gran tenint en compte que molts dels distribuïdors o clients tenien un gran nombre de dispositius per al seguiment".

"A l'època en què la delinqüència i la tecnologia van de la mà, imagineu-vos el perill potencial si els ciberdelinqüents podrien esbrinar on es troba un cotxe iniciant la sessió amb les credencials que estaven disponibles públicament en línia i robaven aquest cotxe? El nombre total de dispositius podria ser molt més gran tenint en compte que molts dels distribuïdors o clients tenien un gran nombre de dispositius per al seguiment ", va dir en un blog l'investigador de Kromtech Bob Diachenko.

El dipòsit Amazon S3 s’ha protegit després que Kromtech va contactar amb SVR i els va alertar sobre l’incompliment. Tot i això, encara no està clar quant de temps van romandre lliurement exposades les dades. Tampoc no se sap si els pirates informàtics van accedir a les dades accessibles públicament.

Sobre l'autor 

Chaitanya


{"email": "Adreça de correu electrònic no vàlida", "url": "Adreça del lloc web no vàlida", "obligatòria": "Falta el camp obligatori"}