I endnu et tilfælde af et utilsigtet databrud, loginoplysninger er over 540,000 optegnelser, der tilhører selskabet til sporing af køretøjer SVR-sporingstjeneste har lækket online på grund af en forkert konfigureret cloud-server, der potentielt afslører personlige oplysninger og køretøjsdetaljer for chauffører og virksomheder, der bruger dens service.
SVR (Stolen Vehicle Records) Tracking, et firma der hævder at være specialiseret i "køretøjsgenopretning" giver sine kunder mulighed for at spore deres køretøjer i realtid ved at fastgøre en fysisk sporingsenhed til køretøjer på et diskret sted, så de kan overvåge og gendanne dem i hvis deres køretøjer bliver stjålet.
Ifølge forskere ved Kromtech Security Center, der først opdagede overtrædelsen, omfattede de eksponerede data SVR-brugeres kontooplysninger, herunder e-mail-id'er, adgangskoder, køretøjsdata (som VIN-numre og nummerplader), IMEI-numre på GPS-enheder og andre data, der indsamles på deres enheder, kunder og bilforhandlere. Dataene blev eksponeret via en usikker Amazon Web Server (AWS) S3 skyopbevaringsskovl, der blev efterladt offentligt tilgængelig.
Interessant nok indeholdt den eksponerede database også oplysninger, hvor nøjagtigt i bilen sporingsenheden var skjult. Forskere fremhævede det lækkede adgangskoder blev beskyttet af den svage SHA-1 hashing-algoritme det var let at knække.
Ifølge Kromtech kunne det samlede antal eksponerede enheder "være meget større i betragtning af det faktum, at mange af forhandlerne eller klienterne havde et stort antal enheder til sporing."
”I den tid, hvor kriminalitet og teknologi går hånd i hånd, forestil dig den potentielle fare, hvis cyberkriminelle kunne finde ud af, hvor en bil er ved at logge ind med de legitimationsoplysninger, der var offentligt tilgængelige online og stjæle den bil? Det samlede antal enheder kunne være meget større i betragtning af det faktum, at mange af forhandlerne eller klienterne havde et stort antal enheder til sporing, ”sagde Kromtech-forsker Bob Diachenko i en blog.
Amazon S3-skovlen er sikret, efter at Kromtech rakte ud til SVR og advarede dem om bruddet. Det er dog stadig uklart, hvor længe dataene forblev frit eksponeret. Det er også usikkert, om de offentligt tilgængelige data muligvis blev åbnet af hackere eller ej.
