标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-707] 作者: ecawen 发表于: [2017-09-25]
本文共 [396] 位读者顶过
数据泄露事件今年频频上演,若按严重性来个排名,汽车跟踪设备的登录信息遭到泄露定拿个前排。 [出自:jiwo.org] Kromtech安全中心最近发现SVR Tracking超过50万的记录暴露在网上。 SVR Tracking是提供车辆跟踪找回服务的一家美国公司,旨在提供服务帮助客户监控车辆以防被拖走或被盗。为了持续实时更新车辆位置,这家公司会在车辆不显眼的位置安装追踪设备,只是未经授权的司机不太容易注意到追踪设备。 SVR官网的信息显示,跟踪设备持续跟踪汽车,只要用户正确登录SVR应用程序(笔记本、台式电脑和移动设备均可下载使用),就能清晰了解到过去120天车辆所在位置。 54万SVR账户从公开可访问的AWS S3中泄露 Kromtech发现SVR将数据存放在公开可访问的亚马逊S3云存储桶中,包含近54万( 540,642 )个SVR账户的信息,包含电子邮箱和密码,车牌号和车辆识别号码(VIN)。 71,996 (02/2016)64,948 (01/2016)58,334 (12/2015)53,297 (11/2016)51,939 (10/2016)41,018 (9/2016)35,608 (8/2016)31,960 (7/2016)31,054 (6/2016)29,144 (5/2016)38,960 (4/2016)32,384 (3/2016)116 GB的每小时备份数据2017年8.5GB每日备份数据339份“日志”文件,包含2015年至2017年的数据:UpdateAllVehicleImages(更新所有车辆图片)、SynchVehicleStatus(同步车辆状态)和维修记录。详述427与家经销商(使用SVR服务)签订合同的文件。 研究人员花费约一天时间确定了数据所有者。 SVR使用最弱的加密算法 SVR密码经过哈希处理或使用其它随机数据——但使用的却是最弱的加密算法(SHA-1),这就意味着黑客无需太多时间便能破解这些密码。数据暴露的时间尚不清楚。 Kromtech安全中心的Bob Diachenko(鲍勃·戴尔安柯)表示,鉴于许多经销商或客户还有大量跟踪设备,因此设备总数量可能更多。 当今社会的犯罪分子尤其善于利用技术,若网络犯罪分子登录用户的SVR账户找出车辆的具体位置,潜在危险可想而知。 Kromtech率先发现SVR数据泄露问题,并于 9月20日报告给SVR,几小时内SVR关闭了这台服务器。 AWS S3成数据泄露重灾区 AWS S3云存储桶最近成了数据泄露重灾区,Kromtech本月早些时候发现时代华纳公司约400万条客户个人可识别信息在线泄露。安全公司UpGuard上月底发现全球第六大传媒公司Viacom也因此遭遇数据泄露事件。 然而,亚马逊云服务器并不是唯一中招的服务,此外,Kromtech还发现超过8.86万信用卡、护照照片和其它形式的ID暴露在网上。今年5月,Kromtech宣布发现5.6亿多条登录凭证因配置不当的数据库暴露在网上。 |