Nuevo leak.
540.000 registros de datos de clientes de una empresa han sido expuestos públicamente,
durante un tiempo indeterminado, en Internet.
Los registros
pertenecen a la empresa SVR Tracking, cuyo servicio principal es proveer de un
sistema de seguimiento GPS y alertas de movimiento de vehículos. Este tipo de
servicios suele ser instalado en flotas comerciales y como sistema de recuperación
en caso de robo.
El problema fue
descubierto por la empresa Kromtech
Security Center, al encontrar un servidor caché al que se podía acceder sin
contraseña, y en el que se encontraba el grueso de datos expuesto. Entre los
datos estaban el nombre de usuario, contraseña, número de identificación del
vehículo, IMEI del dispositivo GPS además de la localización física del dispositivo
instalado en el coche.
Otro de los
pecados cometidos por la empresa fue el tipo de almacenamiento de las
contraseñas, en SHA-1, un algoritmo de hash ya superado; además ni tan siquiera
se estaba generando una sal para dificultar ataques por tablas rainbow.
 |
| Imagen procedente de: https://mackeepersecurity.com/post/auto-tracking-company-leaks-hundreds-of-thousands-of-records-online |
Cómo podemos aprender, no hace falta una vulnerabilidad crítica o un exploit next-gen para morder el polvo. Basta con no tener la más mínima idea de principios básicos de seguridad y desplegar un servidor con información crítica en Internet, sin control alguno, para facilitar el trabajo a un atacante. Dos fallos fundamentales, que podrían exponer a una empresa a sanciones y una grave pérdida en su reputación.
Más información:
Auto
Tracking Company Leaks Hundreds of Thousands of Records Online
https://mackeepersecurity.com/post/auto-tracking-company-leaks-hundreds-of-thousands-of-records-online
No hay comentarios:
Publicar un comentario