Исследователи безопасности из Kromtech обнаружили утечку более полумиллиона записей компании SVR Tracking, специализирующейся на отслеживании местоположения автомобилей.
База данных хранилась на незащищенном облачном сервере Amazon S3. В ней содержалась информация о 540 642 учетных записях клиентов, включая адреса электронной почты, хэши паролей, IMEI GPS-трекеров, номерные знаки, идентификационные номера транспортных средств (VIN) и пр. База данных также содержала информацию о месте расположения устройства для отслеживания в транспортных средствах, отметили исследователи. Помимо этого, исследователи выявили 339 журналов, содержащих информацию о транспортных средствах, включая изображения и записи об обслуживании, а также документы, подробно описывающие контракты с более чем 400 автосалонами, использующими услуги SVR Tracking.
Согласно информации на сайте SVR Tracking, устройства компании обеспечивают непрерывное отслеживание транспортных средств — каждые две минуты при перемещении и в течение четырех часов после остановки. Имея на руках правильные учетные данные, пользователь может получить информацию о всех передвижениях автомобиля за последние 120 дней с помощью приложения для ПК и мобильных устройств.
Общее количество скомпрометированных устройств может быть гораздо больше, поскольку продавцы автомобилей и клиенты могут владеть несколькими GPS-трекерами. Также трудно сказать, как долго данные находились в свободном доступе, отмечают исследователи из Kromtech.
По словам исследователей, утечка была обнаружена 18 сентября 2017 года. SVR Tracking была уведомлена 20 сентября и через несколько часов доступ к серверу был заблокирован.
Ранее исследователь безопасности из компании UpGuard Крис Викери (Chris Vickery) обнаружил в открытом доступе порядка 1 ГБ конфиденциальных данных, конфигурационных файлов и ключей доступа медиаконгломерата Viacom, хранящихся на некорректно настроенном сервере Amazon Web Server S3.
SVR Tracking — американская компания, которая предоставляет клиентам услуги по круглосуточному отслеживанию автомобилей и грузовиков на случай, если транспортное средство будет отбуксировано или угнано.

Источник: securitylab.ru