In einem weiteren Fall einer versehentlichen Datenverletzung werden Anmeldedaten von über 540,000 Aufzeichnungen, die der Firma für Fahrzeugortungsgeräte gehören SVR-Tracking-Dienst sind online durchgesickert wegen a falsch konfigurierter Cloud-Server, wodurch möglicherweise die personenbezogenen Daten und Fahrzeugdaten von Fahrern und Unternehmen, die ihren Dienst nutzen, preisgegeben werden.
SVR (Stolen Vehicle Records) Tracking, ein Unternehmen, das behauptet, sich auf die "Fahrzeugwiederherstellung" spezialisiert zu haben, ermöglicht es seinen Kunden, ihre Fahrzeuge in Echtzeit zu verfolgen, indem sie ein physisches Ortungsgerät an einem diskreten Ort an den Fahrzeugen anbringen, damit sie sie überwachen und wiederherstellen können falls ihre Fahrzeuge gestohlen werden.
Laut den Forschern des Kromtech Security Center, die den Verstoß zuerst entdeckten, enthielten die offengelegten Daten die Zugangsdaten der SVR-Benutzer, einschließlich E-Mail-IDs, wörter, Fahrzeugdaten (wie VIN-Nummern und Nummernschilder), IMEI-Nummern von GPS-Geräten und andere Daten, die wird auf ihren Geräten, Kunden und Autohän gesammelt. Die Daten wurden über eine unsicherer Amazon Web Server (AWS) S3-Cloud-Storage-Bucket, der öffentlich verfügbar war.
Interessanterweise enthielt die freigelegte Datenbank auch Informationen, wo genau im Auto die Ortungseinheit versteckt war. Forscher betonten, dass Durchgesickerte wörter wurden durch den schwachen SHA-1-Hashing-Algorithmus geschützt das war leicht zu knacken.
Laut Kromtech könnte die Gesamtzahl der exponierten Geräte „viel größer sein, da viele der Wiederverkäufer oder Kunden eine große Anzahl von Geräten zum Nachverfolgen hatten“.
„Stellen Sie sich in einer Zeit, in der Kriminalität und Technologie Hand in Hand gehen, die potenzielle Gefahr vor, wenn Cyberkriminelle herausfinden könnten, wo sich ein Auto befindet, indem sie sich mit den online verfügbaren Zugangsdaten anmelden und dieses Auto stehlen? Die Gesamtzahl der Geräte könnte viel größer sein, da viele der Wiederverkäufer oder Kunden eine große Anzahl von Geräten zum Tracking hatten“, sagte Kromtech-Forscher Bob Diachenko in einem Blog.
Der Amazon S3-Bucket wurde gesichert, nachdem Kromtech sich an SVR gewandt und sie über den Verstoß informiert hatte. Es bleibt jedoch unklar, wie lange die Daten frei zugänglich blieben. Ungewiss ist auch, ob die öffentlich zugänglichen Daten möglicherweise von Hackern zugegriffen wurden oder nicht.
