Пароли от более полумиллиона автомобильных GPS-трекеров оказались в открытом доступе

image

Теги: GPS, утечка данных, Amazon S3

Эксперты обнаружили на незащищенном сервере Amazon более 500 тыс. записей компании SVR Tracking.

Исследователи безопасности из Kromtech обнаружили утечку более полумиллиона записей компании SVR Tracking, специализирующейся на отслеживании местоположения автомобилей.

База данных хранилась на незащищенном облачном сервере Amazon S3. В ней содержалась информация о 540 642 учетных записях клиентов, включая адреса электронной почты, хэши паролей, IMEI GPS-трекеров, номерные знаки, идентификационные номера транспортных средств (VIN) и пр. База данных также содержала информацию о месте расположения устройства для отслеживания в транспортных средствах, отметили исследователи. Помимо этого, исследователи выявили 339 журналов, содержащих информацию о транспортных средствах, включая изображения и записи об обслуживании, а также документы, подробно описывающие контракты с более чем 400 автосалонами, использующими услуги SVR Tracking.

Согласно информации на сайте SVR Tracking, устройства компании обеспечивают непрерывное отслеживание транспортных средств - каждые две минуты при перемещении и в течение четырех часов после остановки. Имея на руках правильные учетные данные, пользователь может получить информацию о всех передвижениях автомобиля за последние 120 дней с помощью приложения для ПК и мобильных устройств.

Общее количество скомпрометированных устройств может быть гораздо больше, поскольку продавцы автомобилей и клиенты могут владеть несколькими GPS-трекерами. Также трудно сказать, как долго данные находились в свободном доступе, отмечают исследователи из Kromtech.

По словам исследователей, утечка была обнаружена 18 сентября 2017 года. SVR Tracking была уведомлена 20 сентября и через несколько часов доступ к серверу был заблокирован.

Ранее исследователь безопасности из компании UpGuard Крис Викери (Chris Vickery) обнаружил в открытом доступе порядка 1 ГБ конфиденциальных данных, конфигурационных файлов и ключей доступа медиаконгломерата Viacom, хранящихся на некорректно настроенном сервере Amazon Web Server S3.

SVR Tracking - американская компания, которая предоставляет клиентам услуги по круглосуточному отслеживанию автомобилей и грузовиков на случай, если транспортное средство будет отбуксировано или угнано.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus