Una mas reciente filtración permitió visualizar la ubicación de mas de mitad millón de vehículos con localizador satelital en EEUU

Autor: | Posteado en Noticias Sin comentarios

Car On Map

Estamos llegando a un acierto adonde las violaciones de datos que permiten entrar a info privada se están volviendo, lamentablemente, exiguo normal. Ya lo veíamos hará unas semanas con el preocupante caso de Equifax, y previamente de eso le ocurrió a Target, y previamente a Yahoo, y de este modo nos podemos seguir.

Hay una máxima que dice que si tu info está en hilera entonces está expuesta. Y de este modo ha sido, el Centro de Seguridad de Kromtech descubrió hará unos días que cualquier andoba podía entrar a la plataforma de seguimiento automotriz de ‘SVR Tracking’, que se dedica a la recuperación de vehículos, y de este modo ver en directamente la ubicación de mas de mitad millón de usuarios que decidieron contratar este aseo por cuestiones de “seguridad”.

El problema: la contraseña

SVR Tracking brindar servicios de rastreo a vehículos por mitad de un aparato que se coloca en “un lugar secreto” que no está accesible al conductor. Con esto, la compañía aporta a sus usuarios monitorización continúa las 24 horas a lo largo de los 365 días del año.

Para que el cliente pueda entregar seguimiento a la ubicación del vehículo registrado, se le aporta un número de cliente y una password (la cual no puede ser modificada) para entrar a la plataforma vía web o aplicación amovible para smartphones. Asimismo, este aparato posibilita entrar al historial de ubicaciones y trayectos del vehículo de los últimos 120 días.

Bueno, pues Kromtech hallo el adulterado 18 de septiembre 540.642 credenciales de principio de asamblea para la plataforma de SVR Tracking. Dichas credenciales se encontraban en un Amazon S3 carente protección, por lo que fue imposible conocer cuánto asamblea llevaban ahí. De realizado tampoco se logró conocer quién fue el encargado de guardarlas, inconveniente estaba libres para que cualquier personas accediera y las usara.

Svr Tracking App

Dichas credenciales no sólo incluían nombradía de cliente y contraseña, ya que en la gran mayoría de los casos había un enviado electrónico, matriculas del coche y domicilio registrado, vamos, inclusive el número de identificación del vehículo (VIN). Muchas de estas cuentas se trataban de usuarios empresariales con unos cuantos vehículos registrados, por lo que era factible visualizar en asamblea verdadero toda la operación de una compañía. Obviamente no necesitamos citar el valor de esta info en manos equivocadas.

Kromtech descubrió que el inconveniente es que todas las contraseñas estaban codificadas con caracteres aleatorios utilizando el nivel de protección mas débil (SHA-1), lo que hará que cualquier hacker pueda descifrarlas con cierta facilidad en exiguo tiempo.

Esta violación de datos además entregaba entrada a la plataforma de desarrollador de SVR Tracking, adonde se cree que 339 registros estuvieron expuestos. En ellos se encontraban imágenes de los vehículos, bitácoras de mantenimiento y documentos que detallan los contratos con mas de 400 concesionarios de automóviles que utilizan estos servicios de localización y rastreo.

Como ya había comentado, Kromtech hallo los datos el adulterado 18 de septiembre y le tomó exiguo mas de 24 horas determinar a quien pertenecían. El aviso a SVR Tracking llegó el 20 de septiembre y a las escasas horas el server ya estaba bloqueado. Hasta el momento, SVR Tracking no ha salido a citar ausencia con con respecto a esta violación, ni una aclaración o aviso afluencia a sus clientes.

Más info | Kromtech

También te recomendamos

Ahora alguien ha entrado a las cuentas de Yahoo carente password y los inconvenientes para la compañía continúan

Jonathan James, el joven que con sólo 15 años hackeó y puso de cabeza a la NASA y al Pentágono

5 peinados con pelo rizado inspiradores


La noticia Una mas reciente filtración permitió visualizar la ubicación de mas de mitad millón de vehículos con localizador satelital en EEUU fue publicada originalmente en Xataka por Raúl Álvarez .

Agrega tu comentario