В Сеть утекло полмиллиона аккаунтов автомобильного «Интернета вещей»

Учетные данные от более чем 540 тысяч устройств слежения за автомобилями (GPS-трекеров) размещались на незащищенном сервере в Интернете, сообщает портал CSO.

Записи, принадлежащие компании SVR Tracking, были обнаружены исследователями безопасности Kromtech. Найденная база содержит учетную информацию устройств отслеживания местоположения автомобилей: электронная почта пользователей, хэшированные пароли, идентификаторы (IMEI) GPS-трекеров, идентификационные номера автомобилей (VIN) и другие данные о многочисленных клиентах и 427 дилерских автосалонах, которые используют решения SVR Tracking.

GPS-трекеры позволяют в режиме реального времени отслеживать местоположение автомобиля, даже если его угнали путем буксировки или погрузки. Устройства SVR могут обновлять информацию о машине каждые две минуты в ходе движения и в течение четырех часов после остановки. Используя учетные данные трекера, легко узнать о всех передвижениях привязанного к нему автомобиля за последние 120 дней. 

Как отмечают в Kromtech, скомпрометированная база среди прочего содержала информацию о местах установки GPS-трекеров. Таким образом, угонщики могли значительно облегчить себе жизнь в случае использования таких сведений.

Неизвестно, как долго база учетных записей автотрекеров оставалась открытой. Специалисты Kromtech уведомили SVR Tracking об инциденте 20 сентября и в течение трех часов доступ к серверу был закрыт.

Сфера распространения «Интернета вещей» стремительно расширяется. По мере развития данного сегмента растут риски компрометации учетных данных «умных» устройств. Например, летом в свободном доступе была обнаружена база из нескольких тысяч IoT-устройств, которые могли использоваться для создания деструктивного ботнета.