Over Half a Million Vehicle Records from SVR Tracking Leaked Online

এসভিআর ট্র্যাকিং থেকে হাফ এক মিলিয়ন ভেহিকল রেকর্ডস লিনাক্স অনলাইন - অ্যামাজন ওয়েব সার্ভিস বাটকে ধন্যবাদ।

এসভিআর ট্র্যাকিং, একটি প্রখ্যাত গাড়ির ট্র্যাকার ডিভাইস প্রস্তুতকারক, তথ্য এক্সপোজার সর্বশেষ শিকার হয়ে উঠেছে। ক্রোমেচ সিকিউরিটি সেন্টারের গবেষণার মতে, এসভিআর ট্র্যাকিংয়ের অর্ধ মিলিয়ন রেকর্ডের লগইন তথ্য অনলাইনে লিনাক্স এবং ডিভাইসগুলির চালিত সম্ভাব্য ঝুঁকিপূর্ণ ডিভাইসগুলির মাধ্যমে ব্যক্তিগত ও যানবাহন সম্পর্কিত সংস্থার তথ্য প্রকাশ করে।

Kromtech থেকে বব Diachenko মতে: "মোট ডিভাইসের সংখ্যা অনেক বড় হতে পারে যে রিজেলার বা ক্লায়েন্টদের অনেক ট্র্যাকিং জন্য ডিভাইস বিপুল সংখ্যক ছিল। বয়স যেখানে অপরাধ ও প্রযুক্তি হাতে হাতে যায়, যদি সাইবার অপরাধীরা জানতে পারে যে কোন কারটি কীভাবে প্রমাণপত্রাদি দিয়ে প্রবেশ করে যা অনলাইনে সর্বজনীনভাবে পাওয়া যায় এবং সেই গাড়িটি চুরি করে?

এই তথ্যটি প্রকাশ্যে অ্যামাজন ওয়েব সার্ভিসেস এস 3 বালতিতে পাওয়া যায় যেখানে প্রায় 540,64২ এসভিআর অ্যাকাউন্ট তথ্য উপস্থিত রয়েছে। তথ্য অন্তর্ভুক্ত ইমেইল ঠিকানা, পাসওয়ার্ড, লাইসেন্স প্লেট এবং VIN / গাড়ির সনাক্তকরণ সংখ্যা।

এসভিআর ট্র্যাকিং থেকে হাফ এক মিলিয়ন ভেহিকল রেকর্ডস লিনাক্স অনলাইন
লিকড ডেটা স্ক্রিনশট (ক্রেডিট: ক্রোমটেক)
Kromtech দাবি যে যদিও উপলব্ধ তথ্য প্রায় অর্ধ মিলিয়ন যানবাহন হয়, যেখানে একাধিক যানবাহন একক রেকর্ডের সাথে সংযুক্ত করা হয় যেখানে ক্ষেত্রে আছে। বর্তমানে, যে ডেটাটি প্রকাশ করা হয়নি সেটির মেয়াদ নিশ্চিত করা হয়নি, তবে এসভিআর ট্র্যাকিং অবিলম্বে বিষয়টি সূচিত হওয়ার সাথে সাথে সমস্যাটির সমাধান করেছে।

এসভিআর এর ডেটা লিক এছাড়াও 339 টি লোগগুলি প্রকাশ করেছে, যার মধ্যে রয়েছে গাড়ি সংক্রান্ত রেকর্ডের পরিমাণ উল্লেখযোগ্য পরিমাণে রক্ষণাবেক্ষণ রেকর্ড, জিপিএস সার্ভিস ডেটা, গাড়ির ছবি এবং কিছু গুরুত্বপূর্ণ নথি যা 427 টি কার ডিলারশিপের সাথে তথ্য সরবরাহ করে, যা SVR ট্র্যাকিং পরিষেবার ব্যবহার করে। ডেটা "অ্যাকাউন্ট" নামে একটি ব্যাকআপ ফোল্ডারে সংরক্ষিত ছিল এবং এই ফোল্ডারটি 540,642 রেকর্ড রয়েছে।

এসভিআর ট্র্যাকিং থেকে হাফ এক মিলিয়ন ভেহিকল রেকর্ডস লিনাক্স অনলাইন
এসভিআর স্ক্রিনশট


সমস্যা একটি ভুল কনফিগারেড AWS S3 বাকেট সম্পর্কিত। জানা যায়, বালতি সঠিকভাবে কনফিগার করা হয়নি, কেননা এটি একটি নির্দিষ্ট, অজ্ঞাত সময়কালের জন্য সর্বজনীনভাবে অ্যাক্সেসযোগ্য ছিল। এই যখন তথ্য বিভেদ ঘটেছে। ক্যাশ প্রথমত 18 সেপ্টেম্বর আবিষ্কৃত হয়েছিল যখন কোমটেক ২0 শে সেপ্টেম্বর এসভিআরকে জানিয়েছিলেন যে AWS বালতি বন্ধ হয়ে গেছে।

এসভিআর ট্র্যাকিং বিশেষজ্ঞ, নির্ভরযোগ্য গাড়ির পুনরুদ্ধারের সমাধান সরবরাহের জন্য পরিচিত হয় 24/7 অটোমোবাইল ইনস্টল নজরদারি ডিভাইস। এই ডিভাইসের মূল উদ্দেশ্য হচ্ছে চুরি বা টাওয়ার থেকে গাড়ি আটকানো।

24/7 নজরদারি নিশ্চিত করার জন্য, ডিভাইসটি গাড়ির অবস্থানের লাইভ আপডেট সরবরাহ করতে হবে, যা একটি ক্রমাগত প্রক্রিয়া যা প্রতিটি মিনিটে মিনিটের ব্যবধানে সঞ্চালিত হয় যখন গাড়ির মোবাইল হয় এবং প্রতি চার ঘণ্টার পরে এটি স্থিতিশীল হয়। যানবাহন মালিকেরা গত 120 দিনের তথ্য অ্যাক্সেস করতে পারেন। এটি ডিভাইসের ভিতরে একটি গোপন অবস্থানে ডিভাইস ইনস্টল করা হয় যে লক্ষ করা আবশ্যক; অতএব, কোন অননুমোদিত ব্যক্তি এটি লক্ষ্য করতে পারে না।

আমরা উল্লেখ করেছিলাম যে গাড়ির মালিকটি গত 1২0 দিনে গাড়িটির অবস্থান অ্যাক্সেস করতে পারে কিন্তু এটি SVR অ্যাপ্লিকেশনের জন্য সঠিক লগইন শংসাপত্রের অ্যাক্সেসের উপর নির্ভর করে। অ্যাপটি ডেস্কটপ, ল্যাপটপ এবং সমস্ত মোবাইল ডিভাইসের সাথে সামঞ্জস্যপূর্ণ। এসভিআর পাসওয়ার্ডগুলি অন্যান্য র্যান্ডম ডেটা দিয়ে ধুয়েছে কিন্তু সমস্যা হল যে সুরক্ষা স্তর, যা SHA-1, খুবই দুর্বল। এটি একটি হ্যাকার এসভিআর পাসওয়ার্ড ফাটল জন্য এটি খুব সহজ।

Kromtech গবেষকরা এই দিন বেশ সক্রিয় হয়েছে। পূর্বে, নিরাপত্তা ফোর্সটি 3 মিলিয়ন WWE ভক্তদের ডেটাবেস আবিষ্কার করেছিল। গত এক সপ্তাহে, ক্রোমটেক আলাস্কা ভোটার এবং ভায়াকম ডেটাবেস সহ সর্বজনীনভাবে উপলব্ধ ডেটাবেস দুটি হাই প্রোফাইল ডেটাবেস আবিষ্কার করেছেন।