Les failles de sécurité ne sont sûrement pas plus nombreuses qu'auparavant, mais les cabinets d'audit sont eux de plus en plus vigilants. La semaine dernière, Kromtech Security Center a découvert en surveillant les serveurs Amazon AWS S3 une base de données contenant 540 642 numéros d'identification de véhicules suivis par l'entreprise SVR Tracking.
Les responsables de ce bucket, de cet ensemble de données nommé “Accounts” n'ont tout simplement pas indiquer de mot de passe pour le protéger. Cette erreur de manipulation a exposé près d'un demi-million de propriétaires de voitures. Ce problème repéré le 18 septembre et reporté à SVR Tracking le 20 septembre dernier.
Ces données sont particulièrement sensibles, puisque le cabinet de sécurité évoque des adresses mails, des mots de passe, des numéros de plaque et les identifiants des véhicules. Les données des balises GPS, des beacons installés sur les véhicules font également partie de cette fuite. Ces appareils notaient la position des véhicules toutes les heures et 120 jours d'historique étaient stockés.
Le suiveur suivi ?
C'est tout l'inverse de la proposition commerciale de SVR Tracking. En temps normal, cette entreprise se charge du suivi des véhicules afin d'empêcher les vols, de tracer les voleurs, etc.
Le hic, c'est que SVR Tracking s'adresse autant aux particuliers qu'aux entreprises. Si ces informations sont arrivées en possession de cybercriminels, des automobilistes ont ou auraient pu subir des agressions à cause de cette fuite de données sensibles.
Sensible est encore une fois le bon mot, puisque ce dossier contenait aussi 339 journaux de bord comprenant des photos et l'état des véhicules, ainsi qu'un document contenant les détails de 427 concessionnaires clients de SVR Tracking.
Face à la polémique, SVR Tracking reste stoïque
Contactée par plusieurs médias anglophones, l'entreprise californienne n'a pas confirmé toutes les informations diffusées par Kromtech, mais assure avoir mené sa propre enquête. En trois heures, elle a changé les paramètres de ce bucket. “L'enquête de SVR Tracking sur de potentiels accès non autorisés est en cours et nous prendrons toute autre mesure raisonnablement nécessaire pour protéger les informations sensibles relatives à nos clients” précise le communiqué posté sur le site Web de l'entreprise.
- Partager l'article :
