54万辆汽车追踪设备的密码在网上泄露

车辆跟踪设备公司SVR tracking的50多万条记录的登录凭据已在网上泄露，可能会暴露使用其服务的司机和企业的个人数据和车辆详细信息。

就在两天前，维亚康姆被发现在一台不安全的Amazon S3服务器上泄露其王国的密钥，而这次数据泄露是在配置错误的云服务器上存储敏感数据的又一个例子。
Kromtech安全中心首次发现了一个完全开放、面向公众的错误配置的Amazon Web Server（AWS）S3云存储桶，其中包含一个属于SVR的缓存，该缓存在未知时期内可公开访问。

SVR跟踪服务代表被盗车辆记录，通过在车辆上的一个隐蔽位置安装一个物理跟踪设备，客户可以实时跟踪他们的车辆，以便在车辆被盗的情况下，他们的客户可以监控并找回车辆。

泄露的缓存包含大约54万个SVR账户的详细信息，包括电子邮件地址和密码，以及用户的车辆数据，如VIN（车辆识别号）、GPS设备的IMEI号。

由于泄露的密码是使用SHA-1存储的，SHA-1是美国国家安全局（NSA）设计的一种20年前的弱加密散列函数，可以轻松破解。

泄露的数据库还披露了339份日志，其中包含有关车辆状态和维护记录的照片和数据，以及一份包含427家使用SVR跟踪服务的经销商信息的文件。
有趣的是，暴露的数据库还包含了物理跟踪单元在车内的确切位置。

根据Kromtech的说法，暴露的设备总数“可能要大得多，因为许多经销商或客户都有大量设备可供跟踪”。

由于SVR的汽车跟踪设备在过去120天里对各地的车辆进行监控，任何能够访问SVR用户登录凭据的人都可以实时跟踪车辆，并使用任何连接互联网的设备（如台式机、笔记本电脑、手机或平板电脑）创建车辆访问过的每个位置的详细日志。

最终，当攻击者知道车主不在时，他们可能会直接偷车，甚至抢劫房屋。

Kromtech responsible向该公司通报了配置错误的AWS S3云存储桶，该存储桶已被保护。然而，目前尚不清楚公开获取的数据是否可能被黑客访问。