Estamos llegando a un punto donde las violaciones de datos que permiten acceder a información privada se están volviendo, lamentablemente, algo normal. Ya lo veíamos hace unas semanas con el preocupante caso de Equifax, y antes de eso le ocurrió a Target, y antes a Yahoo, y así nos podemos seguir.
Hay una máxima que dice que si tu información está en línea entonces está expuesta. Y así ha sido, el Centro de Seguridad de Kromtech descubrió hace unos días que cualquier persona podía acceder a la plataforma de seguimiento automotriz de 'SVR Tracking', que se dedica a la recuperación de vehículos, y así ver en directo la ubicación de más de medio millón de usuarios que decidieron contratar este servicio por cuestiones de "seguridad".
El problema: la contraseña
SVR Tracking ofrecer servicios de rastreo a vehículos por medio de un dispositivo que se coloca en "un lugar secreto" que no está accesible al conductor. Con esto, la compañía proporciona a sus clientes monitorización continúa las 24 horas durante los 365 días del año.
Para que el usuario pueda dar seguimiento a la ubicación del vehículo registrado, se le proporciona un número de usuario y una contraseña (la cual no puede ser modificada) para acceder a la plataforma vía web o aplicación móvil para smartphones. Asimismo, este sistema permite acceder al historial de ubicaciones y trayectos del vehículo de los últimos 120 días.
Bueno, pues Kromtech encontró el pasado 18 de septiembre 540.642 credenciales de inicio de sesión para la plataforma de SVR Tracking. Dichas credenciales se encontraban en un Amazon S3 sin protección, por lo que fue imposible saber cuánto tiempo llevaban ahí. De hecho tampoco se pudo saber quién fue el responsable de guardarlas, pero estaba libres para que cualquier personas accediera y las usara.
Dichas credenciales no sólo incluían nombre de usuario y contraseña, ya que en la mayoría de los casos había un correo electrónico, matriculas del coche y domicilio registrado, vamos, hasta el número de identificación del vehículo (VIN). Muchas de estas cuentas se trataban de clientes empresariales con varios vehículos registrados, por lo que era posible ver en tiempo real toda la operación de una compañía. Obviamente no necesitamos mencionar el valor de esta información en manos equivocadas.
Kromtech descubrió que el problema es que todas las contraseñas estaban codificadas con caracteres aleatorios usando el nivel de protección más débil (SHA-1), lo que hace que cualquier hacker pueda descifrarlas con cierta facilidad en poco tiempo.
Esta violación de datos también daba acceso a la plataforma de desarrollador de SVR Tracking, donde se cree que 339 registros estuvieron expuestos. En ellos se encontraban imágenes de los vehículos, bitácoras de mantenimiento y documentos que detallan los contratos con más de 400 concesionarios de automóviles que utilizan estos servicios de localización y rastreo.
Como ya había comentado, Kromtech encontró los datos el pasado 18 de septiembre y le tomó poco más de 24 horas determinar a quien pertenecían. El aviso a SVR Tracking llegó el 20 de septiembre y a las pocas horas el servidor ya estaba bloqueado. Hasta el momento, SVR Tracking no ha salido a mencionar nada con respecto a esta violación, ni una aclaración o aviso público a sus clientes.
Más información | Kromtech
Ver 4 comentarios