NexOpt, доставчик на услуги за проследяване на превозни средства, е изпуснал чувствителни данни за пътувания в реално време и исторически данни от търговски и пътнически превозни средства от цял свят.
Да знаете къде се намира вашето превозно средство може да бъде изключително важно. Ето защо транспортните компании, логистичните фирми, корабите и собствениците на превозни средства използват телеметрия – предаване на данни на големи разстояния, насочено към проследяване.
В NexOpt, компания за управление на автопаркове със седалище в Германия, която твърди, че „гарантира максимална сигурност на данните“. За съжаление, както неотдавна откри изследователският екип на Cybernews, данните на мениджърите на автопаркове са били достъпни за по-широка аудитория, отколкото е било предвидено.
Незащитена инстанция на Nexopt Kibana излага на показ многобройни данни за клиентите на NexOpt, включително идентификационни номера на превозните средства (VIN), местоположението на корабите и превозните средства в реално време и друга информация, която не е предназначена за обществеността.
Изтеклият екземпляр е съдържал почти един терабайт данни. Нашият екип обаче смята, че поне част от информацията изглежда е генерирана за целите на разработката.
След многократни опити да се свържем с компанията и съответния CERT, разкритият екземпляр беше затворен и вече не е публично достъпен.
„Изтичането на информация създава всевъзможни опасности за участващите страни. От една страна, данните могат да бъдат използвани за събиране на бизнес информация, която на свой ред може да бъде използвана за организиране на реални престъпни операции с цел кражба или модифициране на транспортирани товари“, заяви Арас Назаровас, изследовател по информационна сигурност в Cybernews.
Екипът смята, че изтичането на информация е разкрило милиони данни за търговски и вероятно някои нетърговски пътувания. Въз основа на VIN номерата, записани в системата, изглежда, че засегнатите данни са генерирани от над 300 000 уникални превозни средства.
NexOpt, която има офиси в САЩ и Австрия, предоставя няколко вида услуги за проследяване. Една от тях включва добавянето на проследяващо устройство NexOpt към превозно средство, което след това предава информация в реално време за неговото местонахождение.
Точно това е открил екипът в разкрития случай – местоположения на проследяващите устройства NexOpt с метаданни за пътуването, като например адреси на начална и крайна точка на пътуването. Според екипа данните от проследяващите устройства са били свързани с:
„Номерата могат да се използват за идентифициране на повече информация за автомобила, включително за неговите собственици. Макар че решенията за управление на автопаркове често се използват в превозни средства за превоз на стоки, при разследването на изтичането на данни изследователите откриха и значителен брой номера, идентифициращи леки пътнически автомобили“, обясни Назаровас.
По-голямата част от превозните средства с разкрити данни за движението са регистрирани в Южна Германия и съседните държави, въпреки че някои пътувания са открити в САЩ, Африка и азиатската част на Русия.
Изтичането на данни за местоположението винаги е опасно, но разкриването на информация за цели автопаркове създава допълнителни рискове. Например измамници биха могли да използват информацията, за да манипулират транспортираните стоки, което би повлияло на целостта и поверителността на веригата за доставки. Данните за трети страни, с които дадено дружество осъществява стопанска дейност, също могат да бъдат използвани за непряка атака срещу предприятия чрез партньори.
Освен това е напълно възможно пътническите автомобили в набора от данни да принадлежат на служители или изпълнителни директори на компанията. Конкурентите биха могли да използват тази информация, за да разберат с кого операторът на превозното средство осъществява бизнес и с кого контактуват висшестоящите. Това, от своя страна, може да помогне за получаване на конкурентно предимство или да се използва като сигнал за търговия с вътрешна информация.
Това не е първият случай, в който компания, която управлява данни за местоположението, ги оставя достъпни за обществеността. По-рано тази година Cybernews откри, че приложение за проследяване на iOS разкрива данните за GPS местоположението на своите потребители. Миналата година съобщихме, че KidSecurity, популярно приложение за родителски контрол, е изнесло чувствителна информация за деца, разкривайки GPS местоположения и лични съобщения на устройствата на непълнолетни.
Източник: Cybernews
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
