Kromtechは9月21日(米国時間)、「Auto Tracking Company Leaks Hundreds of Thousands of Records」において、車輌追跡サービスを提供している米国の企業SVR Trackingに関連すると見られるデータの漏洩を発見したと伝えた。原因は設定を誤ったAmazon Web Services S3バケットが外部からアクセス可能な状態になっていたことと指摘している。この設定ミスによって同社の顧客、リセラーネットワーク、追跡対象の車輌に設置する物理デバイスの情報などが流出した可能性があると説明している。
漏洩したデータは50万件レコード以上と見られており、ログイン名、パスワード、電子メール、車輌特定番号(Vehicle Identification Number; VIN)、GPSデバイスの国際移動体装置識別番号(International Mobile Equipment Identity; IMEI)、デバイスで収集されたデータ、顧客および自動車ディーラーの情報が含まれていたとされている。
SVR Trackingは、アプリからリアルタイムで車両情報を確認できるサービスを提供しており、Kromtechは攻撃者が漏洩したデータを悪用して同サービスにアクセスして車両の情報を入手すれば、自動車を盗む危険性もあるとしている。
最近、Amazon Web Services S3バケットの誤った設定が原因で大量の機密データがインターネット経由で誰でもアクセスできる状態になっていたというインシデントが相次いで発生している。今のところ、この状況が改善される理由は見つかっておらず、今後も同様のデータ漏洩が発生する可能性がある。該当するサービスを使っている場合は設定を確認し、インターネットから誰でもアクセスできるような状態になっていないことを確認しておくことが望まれる。