导语:本田汽车印度公司通过Honda Connect应用程序泄漏超过50,000名用户的个人信息,这些信息存储在公开无保护的Amazon AWS S3 Bucket中。

本田汽车印度公司通过Honda Connect应用程序泄漏超过50,000名用户的个人信息,这些信息存储在公开无保护的Amazon AWS S3 Bucket中。

专家最近发现两个公开的不安全的AWSBucket内包含一个未受保护的数据库,由本田Connect应用程序维护。

图片1.png 

Honda Connect是一个智能手机应用程序,号称可以给用户带来安全感和安全性,同时可以为用户提供未来的多样性。

Honda Connect应用程序包括定期服务警报、服务预订/编辑、反馈系统、附近经销商和燃油泵定位器、我的文件(用于存储车辆的重要文件),燃料日志,SoS(一键式解决方案,让家人和朋友在紧急情况下知道你的确切位置)。

Honda Connect应用泄漏的数据

不安全的亚马逊AWS S3 Bucket泄漏了非常敏感的个人信息,例如姓名、用户及其可信联系人的电话号码、密码、性别、电子邮件地址,以及有关其车辆的信息,包括VIN,Connect ID等等。

图片2.png

Kromtech的安全研究人员已经报告了这种泄漏,他们并不是第一个发现泄漏的人,但是在安全研究员@Random_Robbie(twitter)之前,他留下了以下注释,名为poc.txt,日期为2018年2月28日

图片3.png

另外,他警告S3 Bucket用户,

如果你在S3 Bucket中发现POC.txt,则需要尽快予以保护!

泄露的信息可能会被犯罪分子利用,他们会将其用于各种恶意活动,例如访问该手机上的所有内容,当匹配到一个设备时,能具体到某人的汽车当前所在的位置、他们去过哪里、经常开车去的地方、他们如何开车以及他们从哪里出发和在哪里停留。

此外,电话号码和电子邮件地址将用于发起非常有针对性的鱼叉式网络钓鱼攻击。

源链接

Hacking more

...