Septembro 26, 2017

Atestiloj pri Proksimume Duona Miliono de Aŭtoj-Spurado-Aparatoj Tranĉiĝis Interrete

Ankoraŭ en alia kazo de neintencita rompo de datumoj, ensalutaj atestiloj finiĝis 540,000 registroj apartenantaj al kompanio de veturiloj Servo de Spurado SVR filtris interrete pro miskonfigurita nuba servilo, eble malkaŝante la personajn datumojn kaj veturilajn detalojn de ŝoforoj kaj kompanioj uzantaj ĝian servon.

Kreditaĵoj-Pri-Duono-Miliona-Aŭto-Spurantaj-Aparatoj-Elfluitaj-Interrete.

 

SVR (Stolen Vehicle Records) Tracking, firmao, kiu asertas specialiĝi pri "veturila reakiro", permesas al siaj klientoj spuri siajn veturilojn en reala tempo, alkroĉante fizikan spuran aparaton al veturiloj en diskreta loko, por ke ili povu kontroli kaj rekuperi ilin en se iliaj veturiloj estas ŝtelitaj.

Laŭ esploristoj de Kromtech Security Center, kiuj unue malkovris la breĉon, la datumoj elmontritaj inkluzivis la akreditaĵojn de SVR-uzantoj, inkluzive retpoŝtajn identigilojn, pasvortojn, veturilajn datumojn (kiel VIN-numeroj kaj numerplatoj), IMEI-nombrojn de GPS-aparatoj kaj aliajn datumojn, kiuj estas kolektita sur iliaj aparatoj, klientoj kaj aŭtomobilaj koncesioj. La datumoj estis elmontritaj per nesekura Amazon-Retservilo (AWS) S3-nuba stokadujo, kiu estis publike disponebla.

Kurioze, la elmontrita datumbazo ankaŭ enhavis informojn, kie ĝuste en la aŭto estis kaŝita la spura unuo. Esploristoj reliefigis tion likitaj pasvortoj estis protektitaj per la malforta hakanta algoritmo SHA-1 tio estis facile fendebla.

Laŭ Kromtech, la totala nombro de aparatoj elmontritaj "povus esti multe pli granda, ĉar multaj el la revendistoj aŭ klientoj havis multajn aparatojn por spuri."

"En la epoko, kie krimo kaj teknologio marŝas, imagu la eblan danĝeron, se ciberkrimuloj povus ekscii, kie estas aŭto, ensalutante kun la atestiloj publikaj haveblaj interrete kaj ŝtelante tiun aŭton? La totala nombro da aparatoj povus esti multe pli granda pro la fakto, ke multaj el la revendistoj aŭ klientoj havis multajn aparatojn por spuri, "diris Kromtech-esploristo Bob Diachenko en blogo.

La Amazon S3-rubujo estis sekurigita post kiam Kromtech kontaktis SVR kaj atentigis ilin pri la rompo. Tamen, ĝi ankoraŭ restas neklara pri kiom longe la datumoj restis libere elmontritaj. Ankaŭ estas necerte, ĉu la publike alireblaj datumoj eble estis aliritaj de retpiratoj aŭ ne.

Pri la aŭtoro 

Chaitanya


{"email": "Retpoŝta adreso nevalida", "url": "Reteja adreso nevalida", "required": "Bezonata kampo mankas"}