亚马逊AWS S3配置错误致汽车跟踪设备登录凭证在线暴露

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

    据外媒报道,Kromtech 安全中心研究人员近期发现汽车追踪设备公司 SVR Tracking 因亚马逊 AWS S3 存储器配置不当,导致逾 54 万用户登录信息在线暴露,其中包括电子邮件地址、用户密码、车辆识别号码 VIN、GPS 设备的 IMEI 号码,以及有关车辆状态与维护跟踪记录数据的 339 份日志文件。

    调查显示,SVR 密码是一款由美国国家安全局(NSA)20 年前设计的弱加密算法 SHA-1,因此黑客能够轻松破解并对其进行登录访问。有趣的是,暴露的数据库还包含在车辆中完全隐藏物理跟踪单元的信息。研究人员表示,由于多数经销商或客户的车辆均具有跟踪设备功能,因此在线暴露的设备总数可能要比调查数据多得多。

    另外,由于 SVR 的汽车跟踪设备在过去 120 天内一直对车辆进行监控,因此任何能够访问 SVR 用户登录凭据的攻击者都可实时跟踪车辆,并使用互联网连接设备创建目标车辆在每个位置的详细日志,从而在汽车主人不在时进行偷窃或抢劫。目前,虽然 Kromtech 在警告公司 AWS S3 存储器配置不当后,SVR Tracking 当即对其进行了保护,但尚不清楚黑客是否已经访问泄露数据。

转自 HackerNews.cc

标签: 安全 电子邮件 互联网 美国 数据库 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:新兴技术驱动网络安全产业变革 态势感知化身“生产力”

下一篇:被动的安全战略给首席信息安全官带来巨大挑战