又是新的一天，又传来了一则新的、令人不安的数据泄漏消息。据外媒报道称，属于汽车跟踪设备公司SVR Tracking的超过50万条记录已经被暴露在了网上，可能会威胁到使用其服务的驾驶员和企业的个人数据和车辆详细信息。

关于SVR Tracking

SVR Tracking是一家提供车辆跟踪找回服务的公司，是无线服务和跟踪技术领域的全球领导者。SVR跟踪服务可以帮助车辆所有者通过实时跟踪数据来确定其车辆的潜在位置，来定位和找回车辆。此外，应用程序仪表板还为用户提供实时图标和有关车辆的详细数据，帮助他们更准确地掌握和测量车辆的活动情况。

SVR Tracking提供的服务包括：持续跟踪；违规通知；车辆常用停放点（过去120天车辆停放位置）；区域警报（查看过去120天的警报记录）；低电量警报；故障电源警报；维护警报；Web应用程序；移动应用程序；多用户登录；道路导航……

安全问题频发的亚马逊云存储 

就在两天前，网络安全公司Viacom发现，SVR将数据存储在了不安全的亚马逊S3服务器中。显然，这已经不是第一次“由于将敏感数据存储在错误配置的云服务器上”而引发的数据泄漏案件了。

在本月早些时候，Kromtech公司就曾发现时代华纳公司约400万条客户个人可识别信息在线泄露；

9月底，安全公司UpGuard发现，全球第六大传媒公司Viacom也因为同样的问题遭遇数据泄露事件，泄漏的机密文件中包含一些美国军方和情报人员的简历信息。

8月中旬，一家电脑安全公司的研究人员发现了一个投票者数据库文件在线暴露，该数据库是存储在亚马逊云服务AWS服务器上的一份备份文件，包含180万名投票者的社会安全账号、驾照和身份证号。

7月份，共和党国家委员会签约的一家营销公司泄漏了超过1.98亿美国公民的政治数据，其主要原因同样是由于将敏感数据存储在了配置错误的数据库中，该数据存储库（为一套Amazon Web Services S3存储桶）未对访问行为作任何限制，以至于任何能够接入互联网的人都可以访问该共和党数据库。

安全公司Detectify的顾问FransRosén也在7月13日发布的一份报告中指出，网络管理员经常忽略亚马逊（AWS）访问控制列表（ACL）规则，导致服务器因错误配置导致大量数据在线泄露。   

54万SVR账户信息泄漏

在近日发生的泄漏事件中，大约包含54万个SVR账户的详细信息，其中包含用户的电子邮箱地址和密码，以及用户的车辆数据，如VIN（车牌识别号码）、GPS设备的IMEI号码等。

研究人员表示，由于SVR泄漏的密码是使用SHA-1（由美国国家安全局于20年前设计的一款弱加密哈希算法）加密算法进行存储的，这就意味着黑客无需太多时间便能轻松地破解这些密码。

此外，泄漏的数据库中还包含339份日志文件，其中包含有关车辆状态和维护记录的照片和数据，以及使用SVR跟踪服务的427家经销商的文档信息。

根据Kromtech研究人员的说法，由于许多经销商或客户还拥有大量的跟踪设备，所以暴露设备的总数量可能会更多。

由于SVR的车辆跟踪设备可以监控120天内车辆的情况，因此任何能够访问SVR用户登录凭证的人都可以实时跟踪车辆，并使用任意联网设备（如台式机、笔记本电脑、手机或平板电脑等）登录SVR应用程序，查看过去120天有关车辆停放位置的详细日志信息。最终，当攻击者了解车辆所有者没在车里时，就可以窃取车辆甚至潜入受害者家中实施抢劫等恶意活动。

据悉，Kromtech公司已于 9月20日将该安全问题报告给了SVR，几小时内SVR关闭了这台服务器。但是，目前还不清楚是否已经有黑客访问了这些可以公开访问的数据。

如何缓解风险

理想情况下，企业应该使用访问控制列表来限制可访问Amazon S3存储桶的IP地址范围，因为通常不需要从互联网的任何地方访问数据。

企业可通过指定用户的规范用户ID或者使用预定义组，以定义哪些用户或组可访问存储桶，这可确保存储桶中的数据不可被公开访问。企业还可定义每个用户或组的细粒度权限水平。

此外，企业还应该检查每个S3存储桶以确保权限得到正确设置，并应为所有未来存储桶部署计划确定预定义策略。由于Amazon S3存储桶都会有唯一访问的URL，因此可通过简单扫描来确定是否可公开访问。