50多萬臺汽車信息洩露,當你定位你的汽車卻變成跟蹤你的利器!
今天的安全第一快報,
安妹和大家繼續談網絡信息安全。
對於網絡信息安全,是一個嚴肅的話題,
可能在談論時有點枯燥乏味,
不過我們儘量談論時用嚴肅的態度來傳遞客觀的信息。
本文看完約7分鐘,歡迎觀賞!
數據洩露事件今年頻頻上演,
若按嚴重性來個排名,
汽車跟蹤設備的登錄信息遭到洩露定拿個前排。
據國外媒體最近報道,一個令人不安的消息是!
Kromtech安全中心最近發現原屬於車輛跟蹤設備公司SVR Tracking的50多萬條登錄憑證存在在線洩露可能,所有汽車跟蹤設備的登錄信息記錄暴露在網上。極有可能會暴露使用其公司服務的司機及企業的個人數據和車輛的詳細信息。而於此前,在Amazon S3服務器上暴露了它祕鑰,而本次數據洩漏又是一個雲服務器上敏感數據的錯誤配置的例子。
71,996 (02/2016)
64,948 (01/2016)
58,334 (12/2015)
53,297 (11/2016)
51,939 (10/2016)
41,018 (9/2016)
35,608 (8/2016)
31,960 (7/2016)
31,054 (6/2016)
29,144 (5/2016)
38,960 (4/2016)
32,384 (3/2016)
116 GB的每小時備份數據
2017年8.5GB每日備份數據
339份“日誌”文件,包含2015年至2017年的數據:UpdateAllVehicleImages(更新所有車輛圖片)、SynchVehicleStatus(同步車輛狀態)和維修記錄。
詳述427與家經銷商(使用SVR服務)簽訂合同的文件。
研究人員花費約一天時間確定了數據所有者。
首先,安妹給大家解釋一下,
文中提到的幾個名詞。
SVR Tracking
SVR Tracking是提供車輛跟蹤找回服務的一家美國公司,旨在提供服務幫助客戶監控車輛以防被拖走或被盜。SVR官網的信息顯示,跟蹤設備持續跟蹤汽車,只要用戶正確登錄SVR應用程序(筆記本、臺式電腦和移動設備均可下載使用),就能清晰瞭解到過去120天車輛所在位置。Kromtech發現SVR將數據存放在公開可訪問的亞馬遜S3雲存儲桶中。
而此次洩露的緩存數據可能包含近54萬
( 540,642 )個SVR賬戶的信息,
包括Email、密碼、用戶個人信息、
VIN、GPS設備的IMEI碼等。
其次洩露還包括,339個日誌,
包括車輛狀態及維修記錄的照片與數據,
以及427個跟蹤經銷商的檔案信息等。
亞馬遜AWS
亞馬遜AWS(Amazon Web Services (AWS) )是亞馬遜提供的專業雲計算服務,於2006年推出,以Web服務的形式向企業提供IT基礎設施服務,通常稱為雲計算。其主要優勢之一是能夠以根據業務發展來擴展的較低可變成本來替代前期資本基礎設施費用。
亞馬遜網絡服務所提供服務包括:亞馬遜彈性計算網雲(Amazon EC2)、亞馬遜簡單儲存服務(Amazon S3)、亞馬遜簡單數據庫(Amazon SimpleDB)、亞馬遜簡單隊列服務(Amazon Simple Queue Service)以及Amazon CloudFront等。根據其頁面介紹,AWS已經為全球190個國家/地區內成百上千家企業提供支持。數據中心位於美國、歐洲、巴西、新加坡和日本。
作為雲計算領域真正的大佬,
一旦亞馬遜攜AWS正式進入中國,
那麼對國內相關的雲計算企業可能會帶來深刻影響,
目前國內像阿里巴巴、盛大以及華為都在提供類似雲計算服務。
S3
S3是 AWS 最早發佈的諸多服務之一,用作可信存儲。所謂可信,AWS給出的概念是:「在指定年度內為對象提供 99.999999999% 的持久性和高達 99.99% 的可用性」,換句話說就是任何存儲於S3的數據基本不可能丟失,在一個年度內,不超過1小時(3153.6s)的宕機時間。
數據洩露被發現
Kromtech安全中心,首先發現了Amazon Web Server(AWS) S3面向公眾的雲存儲錯誤配置的問題。其中包括屬於SVR的緩存一度可以被公開訪問。
對於SVR跟蹤服務可以提供允許客戶來跟蹤其愛車,客戶可以監控與尋找其車輛,以防車輛被盜。而如果一旦信息用戶信息洩露,本是提供便利之用的服務,立馬變成侵犯其個人隱私及車輛被盜風險性加大的不利情況。
SVR使用最弱的加密算法
SVR密碼經過哈希處理或使用其它隨機數據——但使用的卻是最弱的加密算法(SHA-1),這就意味著黑客無需太多時間便能破解這些密碼。數據暴露的時間尚不清楚。
Kromtech安全中心的Bob Diachenko(鮑勃·戴爾安柯)表示,鑑於許多經銷商或客戶還有大量跟蹤設備,因此設備總數量可能更多。
當今社會的犯罪分子尤其善於利用技術,
若網絡犯罪分子登錄用戶的SVR賬戶找出車輛的具體位置,
潛在危險可想而知。
Kromtech率先發現SVR數據洩露問題,
並於 9月20日報告給SVR,
幾小時內SVR關閉了這臺服務器。
AWS S3成數據洩露重災區
AWS S3雲存儲桶最近成了數據洩露重災區,Kromtech本月早些時候發現時代華納公司約400萬條客戶個人可識別信息在線洩露。安全公司UpGuard上月底發現全球第六大傳媒公司Viacom也因此遭遇數據洩露事件。
然而,亞馬遜雲服務器並不是唯一中招的服務,
此外,Kromtech還發現超過8.86萬信用卡、
護照照片和其它形式的ID暴露在網上。
今年5月,Kromtech宣佈發現5.6億多條
登錄憑證因配置不當的數據庫暴露在網上。
在網絡信息安全的領域裡,再好的安全防護都不是多餘的。我們能夠做到的是,基於現有的基礎設施做最好基礎防護,以及網絡信息安全防範意識的宣傳普及和加強。普及網絡信息安全意識與知識,是面向且有利於廣大群眾的一項長期工作。我們將利用我們在網絡信息安全方面的專長與經驗,盡力讓更多人的網絡信息安全合法權益得到重視與保護。
科技發展到21世紀的今天,
科技的力量讓人們相信,它可以改變一切!
今年,電影《速度與激情8》裡面的黑客技術也讓人傻眼,
殭屍車隊和天眼系統成為了整部片子的亮點。
電影裡有這樣一個畫面,滿大街都是自動駕駛汽車。
讓每個看過這部電影的人都心有餘悸。
汽車系統卻被黑客組織劫持,
導致所有的自動駕駛汽車都變成殭屍汽車,
脫離主人的控制滿大街橫行直撞。
看似恐怖的畫面,其實離現實一點也不遙遠。
360董事長周鴻禕曾預言,
未來幾年這個場景可能就會變成現實。
WannaCry勒索病毒攻擊事件標誌大安全時代的到來,
汽車安全只是網絡安全新趨勢新問題的一個縮影。
隨著車聯網和無人駕駛的發展,
智能汽車逐漸變成了一個“架在四個輪子上的大手機”。
隨著智能汽車的不斷普及,
未來汽車將成為第三大移動互聯網終端。
但是現如今汽車廠商精力主要聚焦在
如何給用戶帶來更好的駕乘體驗,
信息安全沒有放在突出位置。
但其實智能汽車的安全是最重要的,
因為汽車安全會危及人身安全、
社會安全,甚至危及國家安全。
將來人體炸彈會變成無人駕駛的汽車炸彈。
幾乎所有的智能汽車品牌都破解過,
許多汽車剎車系統、轉向系統都可以被遠程控制。
360是全球第一個發現特斯拉汽車漏洞的公司,
2014年360安全團隊首次給特斯拉
提交了車輛網系統的安全漏洞,
並在2016年再次為特斯拉提交了
自動駕駛傳感器的漏洞,
360也成為全球唯一兩次入選特斯拉名人堂的團隊。
在物聯網、車聯網和工業互聯網中
開始使用一些人工智能技術,
使用人工智能技術發展無人化的系統,
無人值守的汽車、無人飛機、無人值守的武器,
這些無人系統一旦被劫持,
將帶來更多、更嚴重的安全問題。
人是網絡安全最脆弱的因素,
也是網絡攻擊中最薄弱的環節,
這個時代帶來了更多的不安全和不確定,
給人類帶來了更多的威脅和挑戰。
今天的網絡已經跟整個社會融為一體,
網絡世界和現實世界深度連接,
線上線下的邊界已經消失;
網絡空間的任何安全問題
都可能直接影響現實世界的安全。
科幻並非扯淡,
而是將幾十年後的科技成果提前展示給觀眾!
雖然我們對網絡愛的深沉,
斷網一會就要毒癮發作一樣,
但是如果未來不想被黑客盯上?
是不是......估計只能開手扶拖拉機了?
大安全時代,
安全第一,就用360!
