U još jednom slučaju slučajnog kršenja podataka, vjerodajnice za prijavu od 540,000 evidencije koje pripadaju tvrtki za uređaje za praćenje vozila Usluga praćenja SVR-a su procurili putem interneta zbog pogrešno konfigurirani poslužitelj u oblaku, potencijalno izlažući osobne podatke i detalje o vozilu vozača i poduzeća koja koriste njegovu uslugu.
SVR (Stolen Vehicle Records) Tracking, tvrtka koja tvrdi da se specijalizirala za "oporavak vozila" omogućava svojim kupcima praćenje svojih vozila u stvarnom vremenu pričvršćivanjem fizičkog uređaja za praćenje na vozila na diskretnom mjestu, kako bi ih mogli nadgledati i oporaviti u u slučaju krađe njihovih vozila.
Prema istraživačima iz Kromtech Security Center-a, koji su prvi otkrili kršenje, izloženi podaci uključuju vjerodajnice računa SVR-a, uključujući ID-ove e-pošte, lozinke, podatke o vozilu (poput VIN brojeva i registarskih tablica), IMEI brojeve GPS uređaja i druge podatke koji prikuplja se na njihovim uređajima, kupcima i auto zastupstvima. Podaci su izloženi putem nesigurna korpa za pohranu u oblaku Amazon Web Server (AWS) S3 koja je ostala javno dostupna.
Zanimljivo je da je izložena baza podataka sadržavala i informacije gdje se točno u automobilu skrivala jedinica za praćenje. Istraživači su to istakli procurile lozinke zaštićene su slabim algoritmom hashiranja SHA-1 to je bilo lako razbiti.
Prema Kromtehu, ukupan broj izloženih uređaja "mogao bi biti mnogo veći s obzirom na činjenicu da su mnogi preprodavači ili klijenti imali velik broj uređaja za praćenje."
“U doba u kojem kriminal i tehnologija idu ruku pod ruku, zamislite potencijalnu opasnost ako bi internetski kriminalci mogli saznati gdje je automobil prijavom s vjerodajnicama koje su bile javno dostupne na mreži i ukrasti taj automobil? Ukupni broj uređaja mogao bi biti mnogo veći s obzirom na činjenicu da su mnogi preprodavači ili klijenti imali velik broj uređaja za praćenje ”, rekao je istraživač Kromtecha Bob Diachenko u svom blogu.
Kanta Amazon S3 osigurana je nakon što je Kromtech kontaktirao SVR i upozorio ih na proboj. Međutim, i dalje ostaje nejasno koliko su podaci ostali slobodno izloženi. Također je neizvjesno jesu li hakeri možda pristupili javno dostupnim podacima.
