50多万台汽车跟踪设备的登录凭证泄露

E安全9月23日讯 数据泄露事件今年频频上演，若按严重性来个排名，汽车跟踪设备的登录信息遭到泄露定拿个前排。

Kromtech安全中心最近发现SVR Tracking超过50万的记录暴露在网上。

SVR Tracking是提供车辆跟踪找回服务的一家美国公司，旨在提供服务帮助客户监控车辆以防被拖走或被盗。为了持续实时更新车辆位置，这家公司会在车辆不显眼的位置安装追踪设备，只是未经授权的司机不太容易注意到追踪设备。

SVR官网的信息显示，跟踪设备持续跟踪汽车，只要用户正确登录SVR应用程序（笔记本、台式电脑和移动设备均可下载使用），就能清晰了解到过去120天车辆所在位置。

54万SVR账户从公开可访问的AWS S3中泄露

Kromtech发现SVR将数据存放在公开可访问的亚马逊S3云存储桶中，包含近54万（ 540,642 ）个SVR账户的信息，包含电子邮箱和密码，车牌号和车辆识别号码（VIN）。

• 71,996 (02/2016)

• 64,948 (01/2016)

• 58,334 (12/2015）

• 53,297 (11/2016）

• 51,939 (10/2016)

• 41,018 (9/2016)

• 35,608 (8/2016)

• 31,960 (7/2016)

• 31,054 (6/2016)

• 29,144 (5/2016)

• 38,960 (4/2016)

• 32,384 (3/2016)

• 116 GB的每小时备份数据

• 2017年8.5GB每日备份数据

• 339份“日志”文件，包含2015年至2017年的数据：UpdateAllVehicleImages（更新所有车辆图片）、SynchVehicleStatus（同步车辆状态）和维修记录。

• 详述427与家经销商（使用SVR服务）签订合同的文件。

  
  

研究人员花费约一天时间确定了数据所有者。

SVR使用最弱的加密算法

SVR密码经过哈希处理或使用其它随机数据——但使用的却是最弱的加密算法（SHA-1），这就意味着黑客无需太多时间便能破解这些密码。数据暴露的时间尚不清楚。

Kromtech安全中心的Bob Diachenko（鲍勃·戴尔安柯）表示，鉴于许多经销商或客户还有大量跟踪设备，因此设备总数量可能更多。

当今社会的犯罪分子尤其善于利用技术，若网络犯罪分子登录用户的SVR账户找出车辆的具体位置，潜在危险可想而知。

Kromtech率先发现SVR数据泄露问题，并于 9月20日报告给SVR，几小时内SVR关闭了这台服务器。

AWS S3成数据泄露重灾区

AWS S3云存储桶最近成了数据泄露重灾区，Kromtech本月早些时候发现时代华纳公司约400万条客户个人可识别信息在线泄露。安全公司UpGuard上月底发现全球第六大传媒公司Viacom也因此遭遇数据泄露事件。

然而，亚马逊云服务器并不是唯一中招的服务，此外，Kromtech还发现超过8.86万信用卡、护照照片和其它形式的ID暴露在网上。今年5月，Kromtech宣布发现5.6亿多条登录凭证因配置不当的数据库暴露在网上。