亚马逊

因亚马逊 AWS S3 配置错误,逾 54 万汽车跟踪设备登录凭证在线暴露

  • 浏览次数 4637
  • 喜欢 0
  • 评分 12345

据外媒报道,Kromtech 安全中心研究人员近期发现汽车追踪设备公司 SVR Tracking 因亚马逊 AWS S3 存储器配置不当,导致逾 54 万用户登录信息在线暴露,其中包括电子邮件地址、用户密码、车辆识别号码 VIN、GPS 设备的 IMEI 号码,以及有关车辆状态与维护跟踪记录数据的 339 份日志文件。

调查显示,SVR 密码是一款由美国国家安全局(NSA)20 年前设计的弱加密算法 SHA-1,因此黑客能够轻松破解并对其进行登录访问。有趣的是,暴露的数据库还包含在车辆中完全隐藏物理跟踪单元的信息。研究人员表示,由于多数经销商或客户的车辆均具有跟踪设备功能,因此在线暴露的设备总数可能要比调查数据多得多。

另外,由于 SVR 的汽车跟踪设备在过去 120 天内一直对车辆进行监控,因此任何能够访问 SVR 用户登录凭据的攻击者都可实时跟踪车辆,并使用互联网连接设备创建目标车辆在每个位置的详细日志,从而在汽车主人不在时进行偷窃或抢劫。目前,虽然 Kromtech 在警告公司 AWS S3 存储器配置不当后,SVR Tracking 当即对其进行了保护,但尚不清楚黑客是否已经访问泄露数据。

关联阅读:

美国媒体巨头 Viacom 因亚马逊存储器配置不当,致使大量内部数据在线泄露

美国媒体巨头 Viacom 因亚马逊存储器配置不当,致使大量内部数据在线泄露

安全报告:亚马逊 S3 存储服务器错误配置引发数据泄露

原作者:Swati Khandelwal,译者:青楚 
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接

hackernews_foot