Η Honda και η Universal Music Group είναι οι νέες εταιρείες με data breach για αυτήν την εβδομάδα. Ερευνητές αποκάλυψαν ευαίσθητα στοιχεία σύνδεσης και τα δεδομένα των πελατών τα οποία εκτέθηκαν δημοσίως στο διαδίκτυο λόγω κακής υποδομής.
Στην περίπτωση της UMG δυο Apache Airflow servers έμειναν τελείως απροστάτευτοι. Η διαρροή αφορούσε SQL και FTP credentials.
Από την πλευρά της η ίδια η Honda India άφησε δημοσίως εκτεθειμένους δυο servers Amazon AWS S3 που περιέχουν προσωπικές πληροφορίες για 50.000 χρήστες του Honda Connect App, σύμφωνα με την Kromtech.
Οι πληροφορίες μάλιστα έμειναν εκτεθειμένες παρόλο που η επιχείρηση είχε ενημερωθεί για τον κίνδυνο από έναν άλλο ερευνητή ασφαλείας τον Φεβρουάριο.
To Honda Connect είναι μια εφαρμογή η οποία δίνει τη δυνατότητα στους χρήστες να έχουν μια επικοινωνία με το όχημά τους και πρακτικά μπορούν να έχουν πρόσβαση σε αρκετά από τα συστήματά του.
Οι πληροφορίες που διαρρεύσαν περιείχαν ονόματα, αριθμούς τηλεφώνου (όχι μόνο των χρηστών αλλά και των επαφών τους), κωδικούς πρόσβασης, διευθύνσεις ηλεκτρονικού ταχυδρομείου και πληροφορίες σχετικά με τα αυτοκίνητά τους, όπως αριθμούς πλαισίων αυτοκινήτου (VIN), αναγνωριστικά σύνδεσης και πολλά άλλα.
“Σε αυτή τη συγκεκριμένη περίπτωση, οι πληροφορίες που διέρρευσαν θα μπορούσαν ενδεχομένως να δώσουν σε κάποιον επιτιθέμενο πρόσβαση στα περιεχόμενα των τηλεφώνων των χρηστών, ενώ μέσω της εφαρμογής θα μπορούσε να μάθει που βρίσκεται το αυτοκίνητο κάποιου, τις συνήθεις διαδρομές του κλπ”, εξήγησε η Kromtech.
«Λαμβάνοντας υπόψη τον τρόπο με τον οποίο χρησιμοποιούμε τα αυτοκίνητά μας, αυτό θα μπορούσε να δώσει στον εισβολέα γνώση των καθημερινών δραστηριοτήτων των χρηστών, συμπεριλαμβανομένου του που ζουν, δουλεύουν, ψωνίζουν και παίζουν, καθιστώντας πολύ εύκολη την παρακολούθησή τους».
