El servicio de Rastreo SVR permite a sus clientes rastrear sus vehículos en tiempo real
Otro día, otra noticia sobre un robo de datos, aunque esto es algo desconcertante.
Se han filtrado en línea las credenciales de inicio de sesión de más de medio millón de registros pertenecientes a la compañía de dispositivos de seguimiento de vehículos SVR Tracking, exponiendo potencialmente los detalles de los vehículos y los datos personales de los conductores y las empresas que utilizan su servicio.
Hace apenas dos días, Viacom fue descubierto exponiendo las claves de su reino en un servidor Amazon S3 no garantizado, y este robo de datos es otro ejemplo de almacenamiento de datos confidenciales en un servidor de nube mal configurado.
El Centro de Seguridad de Kromtech fue el primero en descubrir un cubo de almacenamiento en la nube S3 de Amazon Web Server (AWS) abierto de par en par, que contenía una caché perteneciente a SVR que se dejó accesible públicamente por un período desconocido.
El servicio de Rastreo SVR permite a sus clientes rastrear sus vehículos en tiempo real mediante la colocación en un lugar discreto de un dispositivo de rastreo físico a los vehículos, por lo que sus clientes pueden monitorearlos y recuperarlos en caso de que sus vehículos sean robados.
La caché filtrada contenía detalles de aproximadamente 540.000 cuentas SVR, incluyendo direcciones de correo electrónico y contraseñas, así como datos de vehículos de los usuarios, como VIN (número de identificación del vehículo) o números IMEI de dispositivos GPS.
Dado que las contraseñas filtradas se almacenaron usando SHA-1, una débil función de hash criptográfica de 20 años de antigüedad, que fue diseñada por la Agencia de Seguridad Nacional de los Estados Unidos (NSA, por sus siglas en inglés), que se puede romper con facilidad.
La base de datos filtrada también expuso 339 registros que contenían fotografías y datos sobre el estado del vehículo y los registros de mantenimiento, junto con un documento con información sobre los 427 concesionarios que utilizan los servicios de seguimiento de SVR.
Curiosamente, la base de datos expuesta también contenía información de exactamente donde estaba oculta en el coche la unidad de rastreo físico.
Según Kromtech, el número total de dispositivos expuestos "podría ser mucho mayor dado el hecho de que muchos de los revendedores o clientes tenían un gran número de dispositivos para el seguimiento".
Dado que el dispositivo de seguimiento de vehículos SVR monitorea un vehículo en todas partes durante los últimos 120 días, cualquier persona con acceso a las credenciales de inicio de sesión de los usuarios de SVR podría rastrear un vehículo en tiempo real y crear un registro detallado de cada lugar que el vehículo ha visitado usando cualquier dispositivo conectado a Internet como un escritorio, un portátil, un teléfono móvil o una tableta.
Eventualmente, el atacante podría robar el vehículo o incluso robar una casa cuando saben que el dueño de un coche está fuera.
Kromtech alertó responsablemente a la compañía del cubo de almacenamiento en la nube AWS S3 mal configurado, que desde entonces se ha asegurado. Sin embargo, no está claro si los datos públicamente accesibles posiblemente fueron accedidos por hackers o no.