新闻快讯
< >

亚马逊 AWS S3又中招!50多万台汽车跟踪设备的登录凭证泄露

E安全9月23日讯 数据泄露事件今年频频上演,若按严重性来个排名,汽车跟踪设备的登录信息遭到泄露定拿个前排。

Kromtech安全中心最近发现SVR Tracking超过50万的记录暴露在网上。

亚马逊 AWS S3又中招!50多万台汽车跟踪设备的登录凭证泄露-E安全

SVR Tracking是提供车辆跟踪找回服务的一家美国公司,旨在提供服务帮助客户监控车辆以防被拖走或被盗。为了持续实时更新车辆位置,这家公司会在车辆不显眼的位置安装追踪设备,只是未经授权的司机不太容易注意到追踪设备。

SVR官网的信息显示,跟踪设备持续跟踪汽车,只要用户正确登录SVR应用程序(笔记本、台式电脑和移动设备均可下载使用),就能清晰了解到过去120天车辆所在位置。

54万SVR账户从公开可访问的AWS S3中泄露

Kromtech发现SVR将数据存放在公开可访问的亚马逊S3云存储桶中,包含近54万( 540,642 )个SVR账户的信息,包含电子邮箱和密码,车牌号和车辆识别号码(VIN)。

  • 71,996 (02/2016)

  • 64,948 (01/2016)

  • 58,334 (12/2015)

  • 53,297 (11/2016)

  • 51,939 (10/2016)

  • 41,018 (9/2016)

  • 35,608 (8/2016)

  • 31,960 (7/2016)

  • 31,054 (6/2016)

  • 29,144 (5/2016)

  • 38,960 (4/2016)

  • 32,384 (3/2016)

  • 116 GB的每小时备份数据

  • 2017年8.5GB每日备份数据

  • 339份“日志”文件,包含2015年至2017年的数据:UpdateAllVehicleImages(更新所有车辆图片)、SynchVehicleStatus(同步车辆状态)和维修记录。

  • 详述427与家经销商(使用SVR服务)签订合同的文件。

亚马逊 AWS S3又中招!50多万台汽车跟踪设备的登录凭证泄露-E安全

研究人员花费约一天时间确定了数据所有者。

SVR使用最弱的加密算法

SVR密码经过哈希处理或使用其它随机数据——但使用的却是最弱的加密算法(SHA-1),这就意味着黑客无需太多时间便能破解这些密码。数据暴露的时间尚不清楚。

Kromtech安全中心的Bob Diachenko(鲍勃·戴尔安柯)表示,鉴于许多经销商或客户还有大量跟踪设备,因此设备总数量可能更多。

当今社会的犯罪分子尤其善于利用技术,若网络犯罪分子登录用户的SVR账户找出车辆的具体位置,潜在危险可想而知。

Kromtech率先发现SVR数据泄露问题,并于 9月20日报告给SVR,几小时内SVR关闭了这台服务器。

亚马逊 AWS S3又中招!50多万台汽车跟踪设备的登录凭证泄露-E安全

AWS S3成数据泄露重灾区

AWS S3云存储桶最近成了数据泄露重灾区,Kromtech本月早些时候发现时代华纳公司约400万条客户个人可识别信息在线泄露。安全公司UpGuard上月底发现全球第六大传媒公司Viacom也因此遭遇数据泄露事件。

然而,亚马逊云服务器并不是唯一中招的服务,此外,Kromtech还发现超过8.86万信用卡、护照照片和其它形式的ID暴露在网上。今年5月,Kromtech宣布发现5.6亿多条登录凭证因配置不当的数据库暴露在网上。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。