O breșă de securitate expune informațiile a jumătate de milion de dispozitive de urmărire a mașinii
Kromtech Security Center a anunțat că informațiile a mai mult de jumătate de milion de dispozitive de urmărire a vehiculelor și despre utilizatorii lor au fost scurse online în urma unui atac cibernetic.
Breșa dezvăluie informații despre clienții din SUA ai companiei SVR Tracking care oferă dispozitive și servicii de monitorizare și de recuperare a mașinii, conform theinquirer.net.
Informațiile scurse, care includ date de autentificare ale clienților, au fost descoperite prin intermediul unui depozit de înregistrări al Amazon, care fiind configurat greșit a fost lăsată la dispoziția publicului, și deoarece nu era protejat de o parolă, putea permite oricui să găsească locații vizitate de clienții firmei.
„Depozitul conținea peste jumătate de milion de înregistrări cu date de logare, parole, e-mail-uri, număr de identificare al vehicului, seria dispozitivului GPS și alte date care sunt colectate pe dispozitivele lor, ale clienților și ale furnizorilor auto,” a declarat Bob Diachenko, director de comunicare al Kromtech. „În mod interesant, baza de date expusă conținea și informații despre locul exact din mașină în care se afla ascuns instrumentul de urmărire.”
AWS S3 bucket al Amazon conținea datele a 540.642 de clienți ai SVR Tracking. După ce Kromtech a anunțat SVR Tracking cu privire la existența breșei, datele stocate au fost securizate, dar compania nu a dat un răspuns firmei de securitate. În plus, a fost făcut un anunț cu privire la incidentul de securitate pe site-ul SVR Tracking, conform csoonline.com.
În anunț, SVR Tracking spune că a rezolvat problema de configurare raportată de Kromtech, în trei ore, și că va continua investigațiile pentru a identifica dacă datele au fost accesate ilegal și va lua măsurile necesare securizării acestor informații sensibile.
Breșa de la SVR Tracking a fost anunțată cu o zi înainte ca cercetătorii companiei de securitate să anunțe descoperirea unui alt server de stocare AWS S3 neprotejat, aparținând unui inginer al Verizon. Breșa conținea aproximativ 100 MB de informații cu privire la sistemul wireless numit Distributed Vision Services (DVS) al Verizon.
De această dată informațiile nu conțineau date ale clienților, dar includeau informații confidențiale ale companiei precum parole și nume de utilizatori, 129 de mesaje de e-mail salvate și alte date interne ale companiei.
În iulie Amazon ar fi trimis un e-mail utilizatorilor de AWS S3 bucket în care îi avertiza cu privire la faptul că acestea pot fi configurate să permită acces public.
