亚马逊 AWS S3又中招！50多万台汽车跟踪设备的登录凭证泄露

亚马逊AWS（Amazon Web Services (AWS) ）是亚马逊提供的专业云计算服务，于2006年推出，以Web服务的形式向企业提供IT基础设施服务，通常称为云计算。其主要优势之一是能够以根据业务发展来扩展的较低可变成本来替代前期资本基础设施费用。

亚马逊网络服务所提供服务包括：亚马逊弹性计算网云（Amazon EC2）、亚马逊简单储存服务（Amazon S3）、亚马逊简单数据库（Amazon SimpleDB）、亚马逊简单队列服务（Amazon Simple Queue Service）以及Amazon CloudFront等。

根据其页面介绍，AWS已经为全球190个国家/地区内成百上千家企业提供支持。数据中心位于美国、欧洲、巴西、新加坡和日本。作为云计算领域真正的大佬，一旦亚马逊携AWS正式进入中国，那么对国内相关的云计算企业可能会带来深刻影响，目前国内像阿里巴巴、盛大以及华为都在提供类似云计算服务。

S3 介绍

S3是 AWS 最早发布的诸多服务之一，用作可信存储。所谓可信，AWS给出的概念是：「在指定年度内为对象提供 99.999999999% 的持久性和高达 99.99% 的可用性」，换句话说就是任何存储于S3的数据基本不可能丢失，在一个年度内，不超过1小时（3153.6s）的宕机时间。

数据泄露事件今年频频上演，若按严重性来个排名，汽车跟踪设备的登录信息遭到泄露定拿个前排。

Kromtech安全中心最近发现SVR Tracking超过50万的记录暴露在网上。

SVR Tracking是提供车辆跟踪找回服务的一家美国公司，旨在提供服务帮助客户监控车辆以防被拖走或被盗。为了持续实时更新车辆位置，这家公司会在车辆不显眼的位置安装追踪设备，只是未经授权的司机不太容易注意到追踪设备。

SVR官网的信息显示，跟踪设备持续跟踪汽车，只要用户正确登录SVR应用程序（笔记本、台式电脑和移动设备均可下载使用），就能清晰了解到过去120天车辆所在位置。

54万SVR账户从公开可访问的AWS S3中泄露

Kromtech发现SVR将数据存放在公开可访问的亚马逊S3云存储桶中，包含近54万（ 540,642 ）个SVR账户的信息，包含电子邮箱和密码，车牌号和车辆识别号码（VIN）。

• 71,996 (02/2016)

• 64,948 (01/2016)

• 58,334 (12/2015）

• 53,297 (11/2016）

• 51,939 (10/2016)

• 41,018 (9/2016)

• 35,608 (8/2016)

• 31,960 (7/2016)

• 31,054 (6/2016)

• 29,144 (5/2016)

• 38,960 (4/2016)

• 32,384 (3/2016)

• 116 GB的每小时备份数据

• 2017年8.5GB每日备份数据

• 339份“日志”文件，包含2015年至2017年的数据：UpdateAllVehicleImages（更新所有车辆图片）、SynchVehicleStatus（同步车辆状态）和维修记录。

• 详述427与家经销商（使用SVR服务）签订合同的文件。

研究人员花费约一天时间确定了数据所有者。

SVR使用最弱的加密算法

SVR密码经过哈希处理或使用其它随机数据——但使用的却是最弱的加密算法（SHA-1），这就意味着黑客无需太多时间便能破解这些密码。数据暴露的时间尚不清楚。

Kromtech安全中心的Bob Diachenko（鲍勃·戴尔安柯）表示，鉴于许多经销商或客户还有大量跟踪设备，因此设备总数量可能更多。

当今社会的犯罪分子尤其善于利用技术，若网络犯罪分子登录用户的SVR账户找出车辆的具体位置，潜在危险可想而知。

Kromtech率先发现SVR数据泄露问题，并于 9月20日报告给SVR，几小时内SVR关闭了这台服务器。

AWS S3成数据泄露重灾区

AWS S3云存储桶最近成了数据泄露重灾区，Kromtech本月早些时候发现时代华纳公司约400万条客户个人可识别信息在线泄露。安全公司UpGuard上月底发现全球第六大传媒公司Viacom也因此遭遇数据泄露事件。

然而，亚马逊云服务器并不是唯一中招的服务，此外，Kromtech还发现超过8.86万信用卡、护照照片和其它形式的ID暴露在网上。今年5月，Kromtech宣布发现5.6亿多条登录凭证因配置不当的数据库暴露在网上。

文章出处：E安全

你会喜欢

全球1亿辆大众汽车无线钥匙可能被黑！小偷能随便解锁

黑客利用Wi-Fi远程关闭三菱欧蓝德汽车防盗报警器