Σε μια άλλη περίπτωση τυχαίας παραβίασης δεδομένων, τα διαπιστευτήρια σύνδεσης υπερβαίνουν 540,000 αρχεία που ανήκουν σε εταιρεία συσκευών παρακολούθησης οχημάτων Υπηρεσία παρακολούθησης SVR έχουν διαρρεύσει στο διαδίκτυο λόγω α εσφαλμένη διαμόρφωση διακομιστή cloud, δυνητικά εκθέτοντας τα προσωπικά δεδομένα και τα στοιχεία του οχήματος των οδηγών και των επιχειρήσεων που χρησιμοποιούν την υπηρεσία του.
Η SVR (Stolen Vehicle Records) Tracking, μια εταιρεία που ισχυρίζεται ότι ειδικεύεται στην «ανάκτηση οχημάτων» επιτρέπει στους πελάτες της να παρακολουθούν τα οχήματά τους σε πραγματικό χρόνο, συνδέοντας μια φυσική συσκευή παρακολούθησης σε οχήματα σε διακριτική τοποθεσία, ώστε να μπορούν να τα παρακολουθούν και να τα ανακτούν σε περίπτωση κλοπής των οχημάτων τους.
Σύμφωνα με ερευνητές στο Kromtech Security Center, που ανακάλυψαν πρώτοι την παραβίαση, τα δεδομένα που εκτέθηκαν περιελάμβαναν διαπιστευτήρια λογαριασμού χρηστών SVR, συμπεριλαμβανομένων αναγνωριστικών email, κωδικών πρόσβασης, δεδομένων οχημάτων (όπως αριθμούς VIN και πινακίδων κυκλοφορίας), αριθμούς IMEI συσκευών GPS και άλλα δεδομένα που συλλέγεται στις συσκευές, τους πελάτες και τις αντιπροσωπείες αυτοκινήτων τους. Τα δεδομένα αποκαλύφθηκαν μέσω ενός ανασφαλής κάδος αποθήκευσης cloud του Amazon Web Server (AWS) S3 που έμεινε δημόσια διαθέσιμος.
Είναι ενδιαφέρον ότι η εκτεθειμένη βάση δεδομένων περιείχε επίσης πληροφορίες που ακριβώς στο αυτοκίνητο ήταν κρυμμένη η μονάδα παρακολούθησης. Οι ερευνητές τόνισαν ότι οι κωδικοί πρόσβασης που διέρρευσαν προστατεύονταν από τον αδύναμο αλγόριθμο κατακερματισμού SHA-1 που ήταν εύκολο να σπάσει.
Σύμφωνα με την Kromtech, ο συνολικός αριθμός συσκευών που εκτέθηκαν «θα μπορούσε να είναι πολύ μεγαλύτερος δεδομένου του γεγονότος ότι πολλοί από τους μεταπωλητές ή πελάτες είχαν μεγάλο αριθμό συσκευών για παρακολούθηση».
«Στην εποχή όπου το έγκλημα και η τεχνολογία πάνε χέρι-χέρι, φανταστείτε τον πιθανό κίνδυνο εάν οι εγκληματίες του κυβερνοχώρου μπορούσαν να ανακαλύψουν πού βρίσκεται ένα αυτοκίνητο συνδέοντας με τα διαπιστευτήρια που ήταν δημόσια διαθέσιμα στο διαδίκτυο και κλέψουν αυτό το αυτοκίνητο; Ο συνολικός αριθμός συσκευών θα μπορούσε να είναι πολύ μεγαλύτερος δεδομένου του γεγονότος ότι πολλοί από τους μεταπωλητές ή πελάτες είχαν μεγάλο αριθμό συσκευών για παρακολούθηση», δήλωσε ο ερευνητής της Kromtech, Bob Diachenko, σε ένα blog.
Ο κάδος Amazon S3 έχει ασφαλιστεί αφού η Kromtech επικοινώνησε με το SVR και τους ειδοποίησε για την παραβίαση. Ωστόσο, παραμένει ασαφές για πόσο καιρό τα δεδομένα παρέμειναν ελεύθερα εκτεθειμένα. Είναι επίσης αβέβαιο εάν τα δημόσια προσβάσιμα δεδομένα είχαν πρόσβαση πιθανώς από χάκερ ή όχι.
