In nog een ander geval van een onbedoeld datalek, inloggegevens van meer dan 540,000 gegevens van het bedrijf voor het volgen van voertuigen; SVR-volgservice zijn online gelekt vanwege een verkeerd geconfigureerde cloudserver, waardoor mogelijk de persoonlijke gegevens en voertuiggegevens van chauffeurs en bedrijven die gebruik maken van de service openbaar worden.
SVR (Stolen Vehicle Records) Tracking, een bedrijf dat beweert gespecialiseerd te zijn in "voertuigherstel", stelt zijn klanten in staat hun voertuigen in realtime te volgen door een fysiek volgapparaat op een discrete locatie aan voertuigen te bevestigen, zodat ze ze kunnen volgen en herstellen in als hun voertuigen worden gestolen.
Volgens onderzoekers van het Kromtech Security Center, die de inbreuk voor het eerst ontdekten, omvatten de gegevens die werden blootgelegd de accountgegevens van SVR-gebruikers, waaronder e-mail-ID's, wachtwoorden, voertuiggegevens (zoals VIN-nummers en kentekenplaten), IMEI-nummers van GPS-apparaten en andere gegevens die wordt verzameld op hun apparaten, klanten en autodealers. De gegevens zijn openbaar gemaakt via een onveilige Amazon Web Server (AWS) S3 cloudopslag-bucket die publiekelijk beschikbaar was.
Interessant is dat de blootgestelde database ook informatie bevatte waar precies in de auto de volgeenheid verborgen was. Onderzoekers benadrukten dat gelekte wachtwoorden werden beschermd door het zwakke SHA-1 hash-algoritme dat was makkelijk te kraken.
Volgens Kromtech zou het totale aantal blootgestelde apparaten "veel groter kunnen zijn, gezien het feit dat veel van de wederverkopers of klanten grote aantallen apparaten hadden om te volgen."
"In het tijdperk waarin misdaad en technologie hand in hand gaan, stel je het potentiële gevaar voor als cybercriminelen zouden kunnen achterhalen waar een auto is door in te loggen met de inloggegevens die publiekelijk online beschikbaar waren en die auto te stelen? Het totale aantal apparaten zou veel groter kunnen zijn, gezien het feit dat veel van de wederverkopers of klanten grote aantallen apparaten hadden om te volgen”, zei Kromtech-onderzoeker Bob Diachenko in een blog.
De Amazon S3-bucket is beveiligd nadat Kromtech contact heeft opgenomen met SVR en hen op de hoogte heeft gesteld van de inbreuk. Het blijft echter nog steeds onduidelijk hoe lang de gegevens vrij toegankelijk zijn gebleven. Ook is het onzeker of de publiek toegankelijke gegevens mogelijk door hackers zijn ingezien.
