54万辆汽车跟踪设备密码在网上泄露

    近日，虽然让人很不安，但出现了一条数据泄露的消息。

    属于车跟踪设备公司SVR Traking（领英）的超过50万条记录的登录凭证被泄露在网络中，很可能会暴露使用其服务的个人数据以及司机和企业的详细车辆信息。

    仅仅两天前，Viacom（维亚康姆）被发现暴露了存储在一个不安全的亚马逊 S3服务器上的数据，包含秘钥、资料及配置文件，这次数据泄露的是在错误配置云服务器上存储的敏感数据的一个实例。

    Kromtech安全中心首先发现了一个配置错误且可公开访问的AWS S3云存储器，其中包含SVR的数据缓存，且该缓存可被公开访问。

    为了被盗车辆记录，通过安装在车辆不起眼位置的一个跟踪装置，SVR跟踪服务允许车主实时监控车辆，车主可以监控并找回车辆以防被盗。

    泄露的缓存数据包含大约54万个SVR账户的详细信息，包括电子邮件地址和密码，以及用户的车辆数据，如VIN（车辆识别码）、GPS设备的IMEI码。

    由于泄露的密码是使用SHA-1加密存储的，SHA-1是由美国国家安全局（NSA）20年前设计的一种弱密码散列函数，因此可以轻松破解。

    泄露的数据还暴露了339个日志，其中包含车辆状态和维修记录的照片与数据，以及使用SVR跟踪服务的427各经销商的信息文档。

    让人意想不到的事，暴露的数据还包含隐藏在车辆上的追踪设备信息。

    据Kromtech说，由于许多经销商和客户拥有大量的跟踪设备，所以真实暴露的设备总数可能会更大。

    由于SVR的汽车跟踪设备保存着120天的车辆监控记录，因此任何知道SVR用户登录凭证的人都可以实时跟踪车辆，并可以使用任何连接互联网的设备，如台式机、笔记本电脑、手机或平板电脑，创建车辆访问过的任何位置的详细日志。

    最后，当攻击者知道车主离开车时，他们可以盗取车辆甚至抢劫家庭。

    Kromtech主管警告了出现错误配置的AWS S3云存储器的公司，且配置错误已经被修复。但目前并不清楚是否有黑客获取到了这些可公开访问的数据。