A SVR Tracking é uma empresa de recuperação de veículos roubados que oferece um sistema monitoramento praticamente contínuo aos seus clientes. Após instalar um dispositivo no veículo, você ganha credenciais e pode verificar pela web a localização de um veículo até quatro horas depois de ele ser desligado.
Legal, né? Isso se mais de 540 mil credenciais de acesso ao SVR Tracking não tivessem expostos na web. O problema foi descoberto pela Kromtech Security Center, que identificou as senhas disponíveis em um servidor bucket do Amazon S3. Ao todo, eram 540.642 logins e senhas, além de endereços de email, IMEI do GPS e até mesmo números de identificação dos veículos.
De acordo com a Kromtech, apesar de sensíveis, os dados armazenados estavam criptografados, mas usavam apenas o nível mais inferior de proteção. Ou seja, essa fragilidade acabava por facilitar a vida dos hackers que por ventura tentassem roubar as informações.
Não há como saber quanto tempo os dados ficaram expostos nem quantas pessoas tiveram acesso a eles.
O empresa de segurança alerta ainda que há a possibilidade da quantidade de informações vazadas ser ainda maior, afinal alguns dados continham mais de um veículo associado a eles. E como os dados sobre o posicionamento dos veículos ficam armazenado nos servidores da SVR Tracking durante 120 dias, a situação pode ser ainda mais delicada do que parece.
Pouco tempo depois de ser alertada pela Kromtech sobre a exposição dos dados, a SVR Tracking reforçou a segurança de seus servidores, contudo, não há como saber por quanto tempo os dados ficaram expostos nem quem exatamente teve acesso a eles. A companhia ainda não se pronunciou oficialmente sobre o caso.
Fontes
Categorias
