在另一個意外數據洩露的情況下,超過 540,000 屬於車輛跟踪設備公司的記錄 SVR跟踪服務 由於某事在網上洩露 錯誤配置的雲服務器,可能會暴露使用其服務的司機和企業的個人數據和車輛詳細信息。
SVR (Stolen Vehicle Records) Tracking 是一家聲稱專門從事“車輛恢復”的公司,它允許其客戶通過將物理跟踪設備連接到位於隱蔽位置的車輛來實時跟踪他們的車輛,以便他們可以在以防他們的車輛被盜。
據首次發現該漏洞的 Kromtech 安全中心的研究人員稱,洩露的數據包括 SVR 用戶的帳戶憑據,包括電子郵件 ID、密碼、車輛數據(如 VIN 號碼和車牌)、GPS 設備的 IMEI 號碼以及其他數據收集在他們的設備、客戶和汽車經銷商上。 數據是通過一個 公開可用的不安全的 Amazon Web Server (AWS) S3 雲存儲桶。
有趣的是,暴露的數據庫還包含跟踪單元隱藏在汽車中的確切位置的信息。 研究人員強調, 洩露的密碼受到弱 SHA-1 散列算法的保護 那很容易破解。
根據 Kromtech 的說法,暴露的設備總數“可能會更多,因為許多經銷商或客戶都有大量設備進行跟踪。”
“在犯罪和技術齊頭並進的時代,想像一下如果網絡犯罪分子可以通過使用網上公開的憑據登錄並竊取汽車來找出汽車的位置,那麼潛在的危險是什麼? Kromtech 研究員 Bob Diachenko 在博客中表示,鑑於許多經銷商或客戶擁有大量用於跟踪的設備,因此設備總數可能會更多。
在 Kromtech 聯繫 SVR 並警告他們有關違規行為後,Amazon S3 存儲桶已得到保護。 但是,目前尚不清楚這些數據可以自由公開多久。 公開訪問的數據是否可能被黑客訪問也不確定。
