23 sep. 2017

Tracking de 540.000 automóviles filtrados

Se han filtrado las credenciales de inicio de sesión de más de medio millón de registros pertenecientes a la compañía de dispositivos de seguimiento de vehículos SVR Tracking. Esta filtración expone los datos personales de los conductores, los detalles de vehículos y las empresas que utilizan su servicio.

El servicio de rastreo SVR permite a sus clientes rastrear sus vehículos en tiempo real mediante la colocación de un dispositivo de rastreo físico "oculto" en los vehículos, por lo que sus clientes pueden monitorearlos y recuperarlos en caso de que sus vehículos sean robados.

El Centro de Seguridad de Kromtech fue el primero en ver los datos en la nube S3 de Amazon Web Server (AWS). Los datos estaban abiertos de par en par y contenían una caché perteneciente a SVR, la cual estuvo accesible públicamente por un período desconocido de tiempo.
La caché contenía detalles de aproximadamente 540.000 cuentas SVR, incluyendo direcciones de correo electrónico y contraseñas, así como datos de vehículos de los usuarios, como y los números IMEI de los dispositivos GPS. Dado que las contraseñas filtradas se almacenaban usando SHA-1, se puede romper con facilidad.

La base de datos filtrada también expuso 339 registros que contenían fotografías y datos sobre el estado del vehículo y los registros de mantenimiento, junto con un documento con información sobre los 427 concesionarios que utilizan los servicios de seguimiento de SVR.

Curiosamente, la base de datos expuesta también contenía información sobre donde exactamente se oculta la unidad de rastreo físico en el automóvil. Según Kromtech, el número total de dispositivos expuestos "podría ser mucho mayor dado el hecho de que muchos de los revendedores o clientes tenían un gran número de dispositivos para su seguimiento".

Dado que el dispositivo de seguimiento monitorea los vehículos todo el tiempo durante los últimos 120 días, cualquier persona con acceso a las credenciales de inicio de sesión de los usuarios de SVR podría rastrear un vehículo en tiempo real y crear un registro detallado de cada lugar que el vehículo ha visitado.

Eventualmente, el atacante podría robar el vehículo o incluso robar una casa cuando saben que el dueño de un coche está fuera.

Fuente: The Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!