Nuevo fallo permite que 540.000 registros de datos
de clientes de una empresa han sido expuestos públicamente, durante un tiempo
indeterminado, en Internet.
Los registros pertenecen a la empresa
SVR Tracking, cuyo servicio principal es proveer de un sistema de seguimiento
GPS y alertas de movimiento de vehículos. Este tipo de servicios suele ser
instalado en flotas comerciales y como sistema de recuperación en caso de robo.
El problema fue descubierto por la
empresa Kromtech Security Center, al encontrar un servidor caché al que se
podía acceder sin contraseña, y en el que se encontraba el grueso de datos
expuesto. Entre los datos estaban el nombre de usuario, contraseña, número de
identificación del vehículo, IMEI del dispositivo GPS además de la localización
física del dispositivo instalado en el coche.
Otro de los pecados cometidos por la
empresa fue el tipo de almacenamiento de las contraseñas, en SHA-1, un
algoritmo de hash ya superado; además ni tan siquiera se estaba generando una
sal para dificultar ataques por tablas rainbow.
Imagen procedente de:
https://mackeepersecurity.com/post/auto-tracking-company-leaks-hundreds-of-thousands-of-records-online
Cómo podemos aprender, no hace falta
una vulnerabilidad crítica o un exploit next-gen para morder el polvo. Basta
con no tener la más mínima idea de principios básicos de seguridad y desplegar
un servidor con información crítica en Internet, sin control alguno, para
facilitar el trabajo a un atacante. Dos fallos fundamentales, que podrían
exponer a una empresa a sanciones y una grave pérdida en su reputación.
Más información:
- Auto Tracking
Company Leaks Hundreds of Thousands of Records Online https://mackeepersecurity.com/post/auto-tracking-company-leaks-hundreds-of-thousands-of-records-online
Fuente: Hispasec