亚马逊AWS S3配置错误致汽车跟踪设备登录凭证在线暴露

    据外媒报道，Kromtech 安全中心研究人员近期发现汽车追踪设备公司 SVR Tracking 因亚马逊 AWS S3 存储器配置不当，导致逾 54 万用户登录信息在线暴露，其中包括电子邮件地址、用户密码、车辆识别号码 VIN、GPS 设备的 IMEI 号码，以及有关车辆状态与维护跟踪记录数据的 339 份日志文件。

    调查显示，SVR 密码是一款由美国国家安全局（NSA）20 年前设计的弱加密算法 SHA-1，因此黑客能够轻松破解并对其进行登录访问。有趣的是，暴露的数据库还包含在车辆中完全隐藏物理跟踪单元的信息。研究人员表示，由于多数经销商或客户的车辆均具有跟踪设备功能，因此在线暴露的设备总数可能要比调查数据多得多。

    另外，由于 SVR 的汽车跟踪设备在过去 120 天内一直对车辆进行监控，因此任何能够访问 SVR 用户登录凭据的攻击者都可实时跟踪车辆，并使用互联网连接设备创建目标车辆在每个位置的详细日志，从而在汽车主人不在时进行偷窃或抢劫。目前，虽然 Kromtech 在警告公司 AWS S3 存储器配置不当后，SVR Tracking 当即对其进行了保护，但尚不清楚黑客是否已经访问泄露数据。

转自 HackerNews.cc

标签： 安全 电子邮件 互联网 美国 数据库 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。