因亚马逊 aws s3 配置错误,逾 54 万汽车跟踪设备登录凭证在线暴露
2017-09-25 11:05:21
据外媒报道, 安全中心研究人员近期发现汽车追踪设备公司 svr tracking 因亚马逊 aws s3 存储器配置不当,导致逾 54 万用户登录信息在线暴露,其中包括电子邮件地址、用户密码、车辆识别号码 vin、gps 设备的 imei 号码,以及有关车辆状态与维护跟踪记录数据的 339 份日志文件。
调查显示,svr 密码是一款由美国国家安全局(nsa)20 年前设计的弱加密算法 sha-1,因此黑客能够轻松破解并对其进行登录访问。有趣的是,暴露的数据库还包含在车辆中完全隐藏物理跟踪单元的信息。研究人员表示,由于多数经销商或客户的车辆均具有跟踪设备功能,因此在线暴露的设备总数可能要比调查数据多得多。
另外,由于 svr 的汽车跟踪设备在过去 120 天内一直对车辆进行监控,因此任何能够访问 svr 用户登录凭据的攻击者都可实时跟踪车辆,并使用互联网连接设备创建目标车辆在每个位置的详细日志,从而在汽车主人不在时进行偷窃或抢劫。目前,虽然 kromtech 在警告公司 aws s3 存储器配置不当后,svr tracking 当即对其进行了保护,但尚不清楚黑客是否已经访问泄露数据。
原作者:swati khandelwal,译者:青楚
本文由 翻译整理,封面来源于网络;转载请注明“转自 hackernews.cc ” 并附上原文链接
【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信