偶発的なデータ侵害のさらに別のケースでは、 540,000 車両追跡装置会社に属する記録 SVR追跡サービス のせいでネット上に流出 構成が間違っているクラウド サーバー、そのサービスを使用しているドライバーや企業の個人データと車両の詳細を公開する可能性があります。
SVR (Stolen Vehicle Records) Tracking は、「車両の回収」を専門とする会社で、顧客は物理的な追跡デバイスを目立たない場所にある車両に取り付けることで、リアルタイムで車両を追跡できます。彼らの車が盗まれた場合。
漏洩を最初に発見した Kromtech Security Center の研究者によると、公開されたデータには、メール ID、パスワード、車両データ (VIN 番号やナンバー プレートなど)、GPS デバイスの IMEI 番号、その他のデータを含む SVR ユーザーのアカウント認証情報が含まれていました。デバイス、顧客、自動車販売店で収集されます。 データは、 公開されたままであった、安全でない Amazon Web Server (AWS) S3 クラウド ストレージ バケット。
興味深いことに、公開されたデータベースには、追跡ユニットが車のどこに隠されているかという情報も含まれていました。 研究者は次のことを強調しました 漏洩したパスワードは、弱い SHA-1 ハッシュ アルゴリズムによって保護されていました。 それは簡単に割れるものでした。
Kromtech によると、露出したデバイスの総数は、「多くの再販業者またはクライアントが追跡用のデバイスを多数持っているという事実を考えると、はるかに多くなる可能性があります」
「犯罪とテクノロジーが密接に関係している時代に、サイバー犯罪者がオンラインで公開されている認証情報を使ってログインすることで車の居場所を突き止め、その車を盗むことができるとしたら、潜在的な危険性を想像してみてください。 再販業者やクライアントの多くが追跡用のデバイスを多数持っているという事実を考えると、デバイスの総数はもっと多くなる可能性があります」とKromtechの研究者であるBob Diachenkoはブログで述べています.
Kromtech が SVR に連絡し、侵害について警告した後、Amazon S3 バケットは保護されました。 ただし、データが自由に公開されていた期間についてはまだ不明です。 また、公的にアクセス可能なデータがハッカーによってアクセスされた可能性があるかどうかも不明です。
