Honda India: Διέρρευσαν στο διαδίκτυο οι πληροφορίες 50.000 πελατών.
Η Honda Car India βρέθηκε να έχει εκτεθειμένες ευαίσθητες προσωπικές πληροφορίες για πάνω από 50.000 χρήστες της, σε δύο διακομιστές του AWS S3, σύμφωνα με έκθεση που δημοσιεύθηκε σήμερα στην Kromtech Security.
Οι δύο διακομιστές στο Amazon web service (AWS) περιείχαν τα προσωπικά στοιχεία των χρηστών που εγκατέστησαν το Honda Connect, μια εφαρμογή για κινητά που αναπτύχθηκε από την Honda Car India.
Το Honda Connect είναι μια τυπική εφαρμογή διαχείρισης διαφόρων διεργασιών απομακρυσμένης πρόσβασης που επιτρέπει στους χρήστες να αλληλεπιδρούν με τα έξυπνα αυτοκίνητα της Honda, αλλά και να συνεργάζονται και να αλληλεπιδρούν με τις υπηρεσίες που παρέχονται από την Honda Car India.
Διέρρευσαν ονόματα, κωδικοί πρόσβασης και άλλα ευαίσθητα στοιχεία.
Ο Bob Diachenko, ερευνητής ασφάλειας στην Kromtech που ανακάλυψε τα τρωτά σημεία και τις εκτεθειμένες πληροφορίες, και ήρθε σε επαφή με την Honda, λέγοντάς της ότι οι διακομιστές της εξέθεσαν τα προσωπικά δεδομένα των πελατών, και ότι περιείχαν τους παρακάτω ακόλουθους τύπους πληροφοριών:
⦁ Το ονοματεπώνυμο του πελάτη
⦁ Αριθμούς τηλεφώνου
⦁ Διευθύνσεις ηλεκτρονικού ταχυδρομείου
⦁ Κωδικοί πρόσβασης λογαριασμού
⦁ Τα VIN των αυτοκινήτων
⦁ και πολλά άλλα
Οι πληροφορίες ήταν εκτεθειμένες στο διαδίκτυο για 3 μήνες
Αλλά ο Diachenko δεν ήταν ο πρώτος που ανακάλυψε το συγκεκριμένο πρόβλημα της Honda India. Ο Diachenko λέει ότι όταν για πρώτη φορά αντίκρισε το πρόβλημα στους διακομιστές, περιείχε ήδη ένα εγκατεστημένο αρχείο με όνομα poc.txt.
Πρόκειται για ένα αυτοματοποιημένο αρχείο που δημιουργήθηκε από έναν ερευνητή ασφαλείας που ονομάζεται Robbie Wiggins. Επί σχεδόν ένα χρόνο τώρα, ο Wiggins σαρώνει στο διαδίκτυο τους διακομιστές του AWS S3 και όταν βρίσκει τρωτά σημεία αφήνει αυτό το μήνυμα στους μη ασφαλείς διακομιστές. Ο Wiggins προβαίνει σε αυτή την πράξη για να προειδοποιήσει τους ιδιοκτήτες των διακομιστών και να τους παροτρύνει να λάβουν τα μέτρα τους πριν κάποιος χάκερ αποκτήσει πρόσβαση σε αυτά τα δεδομένα.
Ο Diachenko αναφέρει ότι η χρονική σφραγίδα του αρχείου Wiggins ήταν στις 28 Φεβρουαρίου 2018, περίπου πριν τρεις μήνες.
«Η Honda Car India δεν διαπίστωσε καν ότι ο συγκεκριμένος ερευνητής ασφαλείας πρόσθεσε την παρούσα σημείωση στους διακομιστές της», σημείωσε ο Diachenko. «Δεν υπάρχει δικαιολογία γι ‘αυτό,, και δείχνει σαφώς ότι τα πράγματα τρέχουν στον αυτόματο πιλότο, χωρίς καθόλου παρακολούθηση».
Ο ερευνητής της Kromtech, εν τω μεταξύ, ειδοποίησε προσωπικά την Honda Car για τις εκτεθειμένες πληροφορίες των πελατών της, οι οποίοι είναι τώρα ασφαλείς. Παρ ‘όλα αυτά, η διαδικασία δεν ήταν εύκολη. Ο Diachenko ανέφερε στο Texnologia.Net ότι χρειάστηκε σχεδόν δύο εβδομάδες για να έρθει σε επαφή με την εταιρεία για να επαναφέρει τα πράγματα στην ψυχολογική τους κατάσταση.
