Las credenciales de inicio de sesión de más de medio millón de registros pertenecientes a la compañía de dispositivos de seguimiento de vehículos SVR Tracking han sido filtrados en línea, exponiendo potencialmente los datos personales y los detalles de vehículos de los conductores y las empresas que utilizan su servicio.

Hace apenas dos días, se descubrió que Viacom expuso las claves de su reino en un servidor Amazon S3 no asegurado, y esta violación de datos es otro ejemplo de almacenamiento de datos confidenciales en un servidor de la nube mal configurado.

El Centro de Seguridad de Kromtech fue el primero en descubrir un servidor de almacenamiento en la nube Amazon Web Server (AWS) S3, totalmente abierto al público, que contenía una caché perteneciente a SVR que se dejó accesible públicamente por un periodo desconocido.

El servicio de Rastreo SVR permite a sus clientes rastrear sus vehículos en tiempo real mediante la colocación de un dispositivo de rastreo físico a los vehículos en un lugar discreto, por lo que sus clientes pueden monitorearlos y recuperarlos en caso de que sus vehículos sean robados.

La caché filtrada contenía detalles de aproximadamente 540,000 cuentas SVR, incluyendo direcciones de correo electrónico y contraseñas, así como datos de vehículos de los usuarios, como VIN (número de identificación del vehículo), números IMEI de dispositivos GPS, entre otros.

Las contraseñas filtradas fueron almacenadas usando SHA-1, una función criptográfica de hash débil de 20 años de antigüedad que fue diseñada por la Agencia de Seguridad Nacional de los Estados Unidos (NSA, por sus siglas en inglés), que se puede romper con facilidad.

La base de datos filtrada también expuso 339 registros que contenían fotografías y datos sobre el estado del vehículo y los registros de mantenimiento, junto con un documento con información sobre los 427 concesionarios que utilizan los servicios de seguimiento de SVR.

Curiosamente, la base de datos expuesta también contenía información acerca de dónde estaba oculta exactamente en el coche la unidad de rastreo físico.

Según Kromtech, el número total de dispositivos expuestos "podría ser mucho mayor dado el hecho de que muchos de los revendedores o clientes tenían un gran número de dispositivos para el seguimiento".

Dado que el dispositivo de seguimiento de vehículos SVR monitorea un vehículo en cualquier lugar durante los últimos 120 días, cualquier persona con acceso a las credenciales de inicio de sesión de los usuarios de SVR podría rastrear un vehículo en tiempo real y crear un registro detallado de cada lugar que el vehículo ha visitado usando cualquier dispositivo conectado a Internet como un escritorio, un ordenador portátil, un teléfono móvil o una tableta.

Eventualmente, el atacante podría robar el vehículo o incluso robar una casa cuando saben que el dueño de un coche está fuera.

Kromtech responsable alertó a la compañía del servidor de almacenamiento en la nube AWS S3 mal configurado, que desde entonces se ha asegurado. Sin embargo, no está claro si los datos públicamente accesibles posiblemente fueron accedidos por hackers o no.

Artículo relacionado:

Seguridad en la nube durante los próximos años.