Un serveur mal configuré par SVR Tracking expose plus d’un demi-million de véhicules suivis par l’entreprise
Un serveur mal configuré par SVR Tracking expose plus d’un demi-million de véhicules suivis par l’entreprise,
alerte Kromtech Security Center
À l’heure actuelle où tout est connecté à internet, mettre en place des mesures efficaces de sécurité devrait être la priorité de tous les utilisateurs et toutes les entreprises de la planète qui ont leurs données accessibles à partir de la toile. Il y a quelques jours, l’entreprise de sécurité Kromtech Security Center a découvert qu’un Bucket d’Amazon AWS S3 était mal configuré. Amazon Web Service S3 est le principal service de stockage d’Amazon. Il permet de stocker les données en tant qu’objets dans les ressources appelées buckets, ou compartiments. Dans un bucket ou compartiment, il est possible de stocker, supprimer, lire et écrire des objets dont la taille maximale est fixée à 5 téraoctets. Pour le propriétaire d’un bucket, il est possible de consulter les journaux d’accès au bucket ou encore contrôler l’accès afin de définir qui est autorisé à créer, récupérer, supprimer des objets dans le bucket.
Et c’est sur cette plateforme qu’une base de données découverte par Kromtech Security Center s’est retrouvée avec des accès publics. En analysant les données disponibles, l’entreprise de sécurité a remarqué que le bucket mal configuré contenait un dossier de sauvegarde appartenant à l’entreprise de surveillance SVR Tracking et nommé « Account » avec 540 642 numéros d’identification.
Cette entreprise SVR Tracking met à la disposition de ses clients, des appareils à intégrer dans leurs véhicules afin de suivre en direct ces véhicules à partir d’applications sur mobile, tablette ou ordinateur et de les retrouver facilement au cas où les véhicules pistés venaient à être volés. À noter au passage que le sigle SVR Tracking de l’entreprise signifie « Stolen Vehicle Record » pour enregistrement de véhicules volés.
Sur le serveur mal configuré par l’entreprise, en parcourant ce dossier dont le nom laisse déjà deviner le contenu, les chercheurs Kromtech Security Center ont découvert qu’aux différents numéros d’identification contenus dans le dossier sont rattachés d’autres informations comme des identifiants, des mots de passe, des emails, des numéros d’identification de véhicules, des numéros IMEI d’appareils GPS, et d’autres données. Une des choses qui pourraient au moins rassurer les utilisateurs est que les mots de passe étaient chiffrés. Mais malheureusement, le chiffrement était effectué avec l’algorithme de hachage SHA-1 qui n’est plus considéré comme sûr. En outre, la base de données exposée affichait également l’emplacement où le dispositif de pistage était installé dans le véhicule.
Si une personne malveillante venait à mettre la main sur ces informations de grande valeur, elle pourrait cracker les mots de passe des utilisateurs et les suivre en direct en se connectant à l’application de pistage de SVR Tracking. Cette application reçoit les informations de l’appareil de pistage installé dans le véhicule et qui est suivi en temps réel par satellite. À partir de là, plusieurs scénarios sont possibles. Une personne mal intentionnée pourrait par exemple suivre les différents déplacements en temps réel d’un véhicule et s’inviter dans la maison du propriétaire du véhicule lorsqu’elle constate que le véhicule est loin de la maison.
Par ailleurs, vu que l’application liée à l’appareil de pistage intégré au véhicule enregistre les données du véhicule sur les 120 jours passés, d’autres par exemple pourraient se servir de ces informations pour enquêter sur les déplacements d’une personne. D’autres encore pourraient suivre les déplacements d’un véhicule et attendre la bonne occasion pour le voler. Dans pareil cas, il serait difficile à son propriétaire de le retrouver, car le voleur pourrait facilement retirer l’appareil de pistage du véhicule dans la mesure où il a eu accès aux informations qui lui permettent de savoir où cette unité se trouve avec ce serveur mal configuré.
Après avoir évalué tous ces risques potentiels, Kromtech Security Center a alerté l’entreprise au sujet du bucket mal configuré qui laissait ses données accessibles publiquement. Le bucket a été immédiatement sécurisé, mais entre la découverte de Kromtech et la sécurisation du serveur, qui sait si des personnes malveillantes n’ont pas également eu accès à ces données.
Source : Kromtech Security Center
Et vous ?
Cet incident pourrait-il changer votre perception de ces appareils de pistage ? Et par-delà, des appareils connectés ?
Répondre avec citation
Envoyé par yamura
Partager