Исследователи безопасности из Kromtech обнаружили утечку более полумиллиона записей компании SVR Tracking, специализирующейся на отслеживании местоположения автомобилей.
База данных также содержала информацию о месте расположения устройства для отслеживания в транспортных средствах, отметили исследователи. Помимо этого, исследователи выявили 339 журналов, содержащих информацию о транспортных средствах, включая изображения и записи об обслуживании, а также документы, подробно описывающие контракты с более чем 400 автосалонами, использующими услуги SVR Tracking.
Согласно информации на сайте SVR Tracking, устройства компании обеспечивают непрерывное отслеживание транспортных средств – каждые две минуты при перемещении и в течение четырех часов после остановки. Имея на руках правильные учетные данные, пользователь может получить информацию о всех передвижениях автомобиля за последние 120 дней с помощью приложения для ПК и мобильных устройств.
Общее количество скомпрометированных устройств может быть гораздо больше, поскольку продавцы автомобилей и клиенты могут владеть несколькими GPS-трекерами. Также трудно сказать, как долго данные находились в свободном доступе, отмечают исследователи из Kromtech.
По словам исследователей, утечка была обнаружена 18 сентября 2017 года. SVR Tracking была уведомлена 20 сентября и через несколько часов доступ к серверу был заблокирован. Ранее исследователь безопасности из компании UpGuard Крис Викери (Chris Vickery) обнаружил в открытом доступе порядка 1 ГБ конфиденциальных данных, конфигурационных файлов и ключей доступа медиаконгломерата Viacom, хранящихся на некорректно настроенном сервере Amazon Web Server S3.
SVR Tracking – американская компания, которая предоставляет клиентам услуги по круглосуточному отслеживанию автомобилей и грузовиков на случай, если транспортное средство будет отбуксировано или угнано.