एक आकस्मिक डेटा उल्लंघन के एक और मामले में, अधिक के लॉगिन क्रेडेंशियल 540,000 वाहन ट्रैकिंग डिवाइस कंपनी से संबंधित रिकॉर्ड एसवीआर ट्रैकिंग सेवा a leak के कारण ऑनलाइन लीक हो गया है गलत कॉन्फ़िगर किया गया क्लाउड सर्वर, इसकी सेवा का उपयोग करने वाले ड्राइवरों और व्यवसायों के व्यक्तिगत डेटा और वाहन विवरण को संभावित रूप से उजागर करना।
एसवीआर (चोरी वाहन रिकॉर्ड) ट्रैकिंग, एक फर्म जो "वाहन वसूली" में विशेषज्ञता का दावा करती है, अपने ग्राहकों को एक बुद्धिमान स्थान पर वाहनों के लिए एक भौतिक ट्रैकिंग डिवाइस संलग्न करके वास्तविक समय में अपने वाहनों को ट्रैक करने की अनुमति देती है, ताकि वे निगरानी कर सकें और उन्हें पुनर्प्राप्त कर सकें मामले में उनके वाहन चोरी हो जाते हैं।
क्रॉमटेक सिक्योरिटी सेंटर के शोधकर्ताओं के अनुसार, जिन्होंने पहली बार उल्लंघन की खोज की, उजागर किए गए डेटा में एसवीआर उपयोगकर्ताओं के खाता क्रेडेंशियल शामिल थे, जिसमें ईमेल आईडी, पासवर्ड, वाहन डेटा (जैसे वीआईएन नंबर और लाइसेंस प्लेट), जीपीएस उपकरणों के आईएमईआई नंबर और अन्य डेटा शामिल थे। उनके उपकरणों, ग्राहकों और ऑटो डीलरशिप पर एकत्र किया जाता है। डेटा एक via के माध्यम से उजागर किया गया था असुरक्षित Amazon Web Server (AWS) S3 क्लाउड स्टोरेज बकेट जिसे सार्वजनिक रूप से उपलब्ध छोड़ दिया गया था।
दिलचस्प बात यह है कि उजागर हुए डेटाबेस में यह भी जानकारी थी कि कार में वास्तव में ट्रैकिंग यूनिट कहाँ छिपी थी। शोधकर्ताओं ने प्रकाश डाला कि लीक हुए पासवर्ड कमजोर SHA-1 हैशिंग एल्गोरिथम द्वारा सुरक्षित थे जिसे तोड़ना आसान था।
क्रॉमटेक के अनुसार, उजागर किए गए उपकरणों की कुल संख्या "इस तथ्य को देखते हुए बहुत बड़ी हो सकती है कि कई पुनर्विक्रेताओं या ग्राहकों के पास ट्रैकिंग के लिए बड़ी संख्या में उपकरण थे।"
"उस युग में जहां अपराध और तकनीक साथ-साथ चलते हैं, संभावित खतरे की कल्पना करें यदि साइबर अपराधी यह पता लगा सकते हैं कि एक कार कहां है, जो सार्वजनिक रूप से ऑनलाइन उपलब्ध क्रेडेंशियल्स के साथ लॉग इन करके उस कार को चुरा लेती है? उपकरणों की कुल संख्या बहुत अधिक हो सकती है, इस तथ्य को देखते हुए कि कई पुनर्विक्रेताओं या ग्राहकों के पास ट्रैकिंग के लिए बड़ी संख्या में उपकरण थे, ”क्रॉमटेक के शोधकर्ता बॉब डायचेंको ने एक ब्लॉग में कहा।
क्रॉमटेक के एसवीआर तक पहुंचने और उल्लंघन के बारे में उन्हें सचेत करने के बाद अमेज़न S3 बाल्टी सुरक्षित हो गई है। हालाँकि, यह अभी भी स्पष्ट नहीं है कि डेटा कब तक स्वतंत्र रूप से खुला रहा। यह भी अनिश्चित है कि सार्वजनिक रूप से सुलभ डेटा को हैकर्स द्वारा एक्सेस किया गया था या नहीं।
