亞馬遜 AWS S3又中招！50多萬台汽車跟蹤設備的登錄憑證泄露

E安全9月23日訊 數據泄露事件今年頻頻上演，若按嚴重性來個排名，汽車跟蹤設備的登錄信息遭到泄露定拿個前排。

Kromtech安全中心最近發現SVR Tracking超過50萬的記錄暴露在網上。

SVR Tracking是提供車輛跟蹤找回服務的一家美國公司，旨在提供服務幫助客戶監控車輛以防被拖走或被盜。為了持續實時更新車輛位置，這家公司會在車輛不顯眼的位置安裝追蹤設備，只是未經授權的司機不太容易注意到追蹤設備。

SVR官網的信息顯示，跟蹤設備持續跟蹤汽車，只要用戶正確登錄SVR應用程序（筆記本、台式電腦和移動設備均可下載使用），就能清晰了解到過去120天車輛所在位置。

54萬SVR賬戶從公開可訪問的AWS S3中泄露

Kromtech發現SVR將數據存放在公開可訪問的亞馬遜S3雲存儲桶中，包含近54萬（ 540,642 ）個SVR賬戶的信息，包含電子郵箱和密碼，車牌號和車輛識別號碼（VIN）。

• 71,996 (02/2016)

• 64,948 (01/2016)

• 58,334 (12/2015）

• 53,297 (11/2016）

• 51,939 (10/2016)

• 41,018 (9/2016)

• 35,608 (8/2016)

• 31,960 (7/2016)

• 31,054 (6/2016)

• 29,144 (5/2016)

• 38,960 (4/2016)

• 32,384 (3/2016)

• 116 GB的每小時備份數據

• 2017年8.5GB每日備份數據

• 339份「日誌」文件，包含2015年至2017年的數據：UpdateAllVehicleImages（更新所有車輛圖片）、SynchVehicleStatus（同步車輛狀態）和維修記錄。

• 詳述427與家經銷商（使用SVR服務）簽訂合同的文件。

研究人員花費約一天時間確定了數據所有者。

SVR使用最弱的加密演算法

SVR密碼經過哈希處理或使用其它隨機數據——但使用的卻是最弱的加密演算法（SHA-1），這就意味著黑客無需太多時間便能破解這些密碼。數據暴露的時間尚不清楚。

Kromtech安全中心的Bob Diachenko（鮑勃·戴爾安柯）表示，鑒於許多經銷商或客戶還有大量跟蹤設備，因此設備總數量可能更多。

當今社會的犯罪分子尤其善於利用技術，若網路犯罪分子登錄用戶的SVR賬戶找出車輛的具體位置，潛在危險可想而知。

Kromtech率先發現SVR數據泄露問題，並於 9月20日報告給SVR，幾小時內SVR關閉了這台伺服器。

AWS S3成數據泄露重災區

AWS S3雲存儲桶最近成了數據泄露重災區，Kromtech本月早些時候發現時代華納公司約400萬條客戶個人可識別信息在線泄露。安全公司UpGuard上月底發現全球第六大傳媒公司Viacom也因此遭遇數據泄露事件。

然而，亞馬遜雲伺服器並不是唯一中招的服務，此外，Kromtech還發現超過8.86萬信用卡、護照照片和其它形式的ID暴露在網上。今年5月，Kromtech宣布發現5.6億多條登錄憑證因配置不當的資料庫暴露在網上。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！