Fuite en ligne des mots de passe pour 540 000 peripheriques de suivi de voiture
Un nouveau jour, une autre nouvelle sur une violation des données, bien que ce soit quelque chose de déconcertant.
Les identifiants de connexion de plus d’un demi-million d’enregistrements appartenant à l’entreprise de périphérique de suivi de véhicule SVR Tracking ont été divulgués en ligne, ce qui pourrait exposer les données personnelles et les détails des véhicules des conducteurs et des entreprises à l’aide de son service.
Il y a seulement deux jours, Viacom a été trouvé exposant les clés de son royaume sur un serveur S S Sécurisé de l’Amazon S3, et cette violation des données est encore un autre exemple de stockage des données sensibles sur un serveur nuage mal configuré.
Le Centre de sécurité Kromtech a d’abord découvert un compartiment de stockage en nuage S3 S3 hébergé par un serveur Web Amazon (AWS), largement ouvert et public, contenant un cache appartenant au SVR qui a été laissé accessible au public pour une période inconnue.
Stands pour les dossiers de véhicules volés, le service de suivi SVR permet à ses clients de suivre leurs véhicules en temps réel en attachant un dispositif de suivi physique aux véhicules dans un endroit discret, afin que leurs clients puissent les surveiller et les récupérer au cas où leurs véhicules seraient volés.
Le cache filtré contenait des détails d’environ 540 000 comptes SVR, y compris les adresses e-mail et les mots de passe, ainsi que les données des véhicules des utilisateurs, comme le numéro d’identification du véhicule (VIN), le nombre IMEI de périphériques GPS.
Étant donné que les mots de passe filtrés ont été stockés à l’aide de SHA-1, une fonction de hachage cryptographique faible de 20 ans conçue par l’US National Security Agency (NSA), qui peut être fissurée avec facilité.
La base de données filtrée a également exposé 339 journaux contenant des photographies et des données sur l’état des véhicules et les dossiers de maintenance, ainsi qu’un document contenant des informations sur les 427 concessionnaires qui utilisent les services de suivi de SVR.
Fait intéressant, la base de données exposée contenait également des informations où exactement dans la voiture, l’unité de suivi physique était cachée.
Selon Kromtech, le nombre total d’appareils exposés « pourrait être beaucoup plus grand compte tenu du fait que beaucoup de revendeurs ou de clients disposaient d’un grand nombre d’appareils pour le suivi ».
Étant donné que le dispositif de suivi de voiture de SVR surveille un véhicule partout au cours des 120 derniers jours, toute personne ayant accès aux informations d’identification des utilisateurs des SVR pourrait suivre un véhicule en temps réel et créer un journal détaillé de chaque emplacement que le véhicule a visité à l’aide d’un périphérique connecté à Internet comme un ordinateur de bureau, un portable, un téléphone portable ou une tablette.
Finalement, les hacker pourraient absolument voler le véhicule ou même voler une maison quand ils savent que le propriétaire n'est pas présent.
Kromtech responsable a alerté l’entreprise du seau de stockage en nuage AWS S3 mal configuré, qui a depuis été sécurisé. Cependant, il est difficile de savoir si les données accessibles au public ont pu être consultées par des pirates informatiques ou non.