TheHackerNews cho biết một công ty nắm giữ thông tin đăng nhập thiết bị định vị của hơn nửa triệu xe hơi đã bị phát tán lên mạng
Đây được xem là một vụ bị lộ thông tin cá nhân, chi tiết về mẫu xe, tài xế và cả doanh nghiệp đang dùng dịch vụ của họ.
Chỉ hai ngày trước, Viacom phát hiện ra chìa khóa đăng nhập của họ trên một máy chủ Amazon S3 không có bảo đảm. Sự sai lầm này là một ví dụ về lưu trữ dữ liệu nhạy cảm trên một máy chủ đám mây có cấu hình sai.
Trung tâm An ninh Kromtech là đươn vị đầu tiên phát hiện ra một kho lưu trữ đám mây bị cấu hình sai của Amazon Web Server (AWS) S3. Bộ nhớ cache thuộc quyền sở hữu của SVR đã bị truy cập công khai trong một khoảng thời gian không xác định.
Với trụ sở cho các hồ sơ xe bị đánh cắp, dịch vụ SVR Tracking cho phép khách hàng theo dõi xe của họ trong thời gian thực bằng cách gắn thiết bị theo dõi vật lý vào xe ở một vị trí kín đáo, do đó khách hàng của họ có thể theo dõi và thu hồi chúng trong trường hợp xe của họ bị mất cắp.
Lượng dữ liệu bị rò rỉ chứa chi tiết khoảng 540.000 tài khoản SVR, bao gồm địa chỉ email, mật khẩu cũng như dữ liệu xe của người dùng như VIN (số nhận dạng xe), số IMEI của thiết bị GPS.
Các mật khẩu bị rò rỉ được lưu trữ bằng SHA-1, một hàm băm mật mã đã rất yếu, có tuổi đời đến 20 năm, được thiết kế bởi Cơ quan An ninh Quốc gia Hoa Kỳ (NSA). SHA-1 có thể bị bẻ khoá khá dễ dàng.
Cơ sở dữ liệu bị rò rỉ này cũng đã để lộ 339 bản ghi có chứa hình ảnh và dữ liệu về tình trạng xe, hồ sơ bảo dưỡng cùng với tài liệu có thông tin về 427 đại lý sử dụng các dịch vụ theo dõi của SVR.
Theo Kromtech, tổng số thiết bị lộ thông tin có thể lớn hơn nhiều do thực tế có nhiều người bán lại, hoặc khách hàng có số lượng lớn các thiết bị để theo dõi. Vì thiết bị theo dõi xe của SVR theo dõi xe ở mọi nơi trong 120 ngày, bất kỳ ai có quyền truy cập vào chứng chỉ đăng nhập của SVR đều có thể theo dõi một chiếc xe theo thời gian thực. Hacker có thể dễ dàng tạo nhật ký chi tiết về mọi vị trí mà chiếc xe đã truy cập bằng cách sử dụng thiết bị kết nối internet.
Kẻ tấn công hoàn toàn có thể ăn cắp chiếc xe hoặc thậm chí cướp ngôi nhà, khi họ biết rằng chủ xe của họ đã đi vắng. Kromtech đã thông báo cho công ty của nhóm lưu trữ đám mây AWS S3 đã định cấu hình sai. Vẫn chưa rõ liệu các dữ liệu có thể truy cập công khai có thể được truy cập bởi tin tặc hay không.
Theo TheHackerNews