In un altro caso di violazione accidentale dei dati, credenziali di accesso di oltre 540,000 record appartenenti alla società di dispositivi di localizzazione del veicolo Servizio di monitoraggio SVR sono trapelati online a causa di a server cloud mal configurato, esponendo potenzialmente i dati personali e i dettagli del veicolo di conducenti e aziende che utilizzano il suo servizio.
SVR (Stolen Vehicle Records) Tracking, un'azienda che afferma di essere specializzata nel "recupero dei veicoli", consente ai propri clienti di tracciare i propri veicoli in tempo reale collegando un dispositivo di localizzazione fisico ai veicoli in una posizione discreta, in modo che possano monitorarli e recuperarli in caso in cui i loro veicoli vengono rubati.
Secondo i ricercatori del Kromtech Security Center, che per primi hanno scoperto la violazione, i dati esposti includevano le credenziali dell'account degli utenti SVR, inclusi ID e-mail, password, dati del veicolo (come numeri VIN e targhe), numeri IMEI dei dispositivi GPS e altri dati che viene raccolto sui loro dispositivi, clienti e concessionarie auto. I dati sono stati esposti tramite an bucket di archiviazione cloud S3 di Amazon Web Server (AWS) non sicuro lasciato pubblicamente disponibile.
È interessante notare che il database esposto conteneva anche informazioni su dove esattamente nell'auto era nascosta l'unità di tracciamento. I ricercatori hanno evidenziato che le password trapelate erano protette dal debole algoritmo di hashing SHA-1 era facile da decifrare.
Secondo Kromtech, il numero totale di dispositivi esposti "potrebbe essere molto maggiore dato che molti dei rivenditori o clienti avevano un gran numero di dispositivi per il monitoraggio".
“Nell'era in cui crimine e tecnologia vanno di pari passo, immaginate il potenziale pericolo se i criminali informatici potessero scoprire dove si trova un'auto accedendo con le credenziali pubblicamente disponibili online e rubando quell'auto? Il numero complessivo di dispositivi potrebbe essere molto più grande, dato che molti rivenditori o clienti disponevano di un numero elevato di dispositivi per il monitoraggio", ha affermato in un blog il ricercatore di Kromtech Bob Diachenko.
Il bucket Amazon S3 è stato protetto dopo che Kromtech ha contattato SVR e li ha avvisati della violazione. Tuttavia, non è ancora chiaro per quanto tempo i dati siano rimasti liberamente esposti. È inoltre incerto se i dati accessibili pubblicamente siano stati eventualmente consultati da hacker o meno.