Mật khẩu 540.000 thiết bị định vị xe của SVR bị rò rỉ trực tuyến

Theo Thehackernews, cách đây vài ngày, Viacom đã phát hiện chìa khóa đăng nhập của họ trên một máy chủ Amazon S3 không an toàn do lỗi cấu hình sai của Amazon Web Server S3. Các dữ liệu bộ nhớ cache bị rò rỉ thuộc quyền sở hữu của SVR và cho phép người khác truy cập công khai trong một khoảng thời gian không xác định.

Được biết thiết bị định vị của SVR cho phép khách hàng theo dõi xe của họ trong thời gian thực bằng cách gắn thiết bị theo dõi vào xe ở một vị trí kín đáo, do đó khách hàng của họ có thể theo dõi và lấy lại chúng trong trường hợp xe bị mất cắp.

Bộ nhớ cache bị rò rỉ chứa chi tiết khoảng 540.000 tài khoản SVR, bao gồm địa chỉ email và mật khẩu, cũng như dữ liệu xe của người dùng, bao gồm mã nhận dạng xe (VIN), số IMEI của thiết bị GPS… Đặc biệt, các dữ liệu này được mã hóa bằng giao thức cũ và yếu kém SHA-1 nên nó dễ dàng bị tấn công.

Không chỉ có vậy, cơ sở dữ liệu rò rỉ cũng để lộ 339 bản ghi có chứa hình ảnh và dữ liệu về tình trạng xe cũng như hồ sơ bảo dưỡng, cùng tài liệu thông tin về 427 đại lý sử dụng dịch vụ theo dõi của SVR. Nguy hiểm hơn, dữ liệu rò rỉ cũng chứa thông tin chính xác về vị trí thiết bị định vị được đặt bên trong xe.

Theo trung tâm an ninh mạng Kromtech, tổng số thiết bị được phơi nhiễm có thể lớn hơn rất nhiều do thực tế là nhiều người đã bán lại hoặc khách hàng có số lượng lớn các thiết bị để định vị.

Vì thiết bị định vị xe của SVR theo dõi xe ở mọi nơi trong 120 ngày gần nhất nên bất kỳ ai có quyền truy cập vào các thông tin đăng nhập của người dùng SVR cũng có thể theo dõi xe theo thời gian thực và tạo nhật ký chi tiết về mọi vị trí mà chiếc xe đã đến bằng bất kỳ thiết bị trang bị kết nối internet nào, như PC, laptop, smartphone hoặc tablet.

Cuối cùng, kẻ tấn công hoàn toàn có thể ăn cắp chiếc xe hoặc thậm chí đột nhập một ngôi nhà để ăn trộm khi biết chủ nhân đã lái xe rời khỏi nhà.

Hiện tại nhóm an ninh mạng của Amazon đã khắc phục lỗi cấu hình trong máy chủ S3, tuy nhiên vẫn chưa rõ liệu các dữ liệu công khai trên đã được truy cập bởi tin tặc hay không.