Специалисты компании Kromtech Security обнаружили в интернете незащищенную БД, содержащую более 10 млн автомобильных VIN (Идентификационный номер транспортного средства, Vehicle identification number). По данным исследователей, БД доступна любому желающему уже 137 дней и, судя по всему, была составлена кем-то с маркетинговыми целями.
Основываясь на информации, содержащейся в базе, аналитики предполагают, что БД принадлежит крупному американскому автосалону и, возможно, даже не одному. Так, база данных разбита на три основных раздела, в которых можно найти данные о покупателях, машинах и информацию о продажах.
Данные о клиентах включают в себя полное имя, адрес, мобильный, рабочий и домашний телефоны, email-адрес, дату рождения, пол, а также данные о количестве детей старше 12 лет. Не менее исчерпывающим является раздел с данными об автомобиле. В него входит информация о VIN-коде авто, модели, модельном годе, пробеге и так далее. Последний раздел, в котором хранятся данные о проданных авто, позволит узнать не только характеристики автомобиля (к примеру, VIN и пробег), но также детальную информацию о том, как именно была совершена сделка: цену продажи, способ оплаты (наличные, карта, банковский перевод), размер ежемесячного платежа.
Исследователи предупреждают, что такое количество персональных данных может стать настоящим подарком для злоумышленников, которые могут использовать информацию из БД для кражи личности и различных видов сетевого мошенничества.
Однако наибольшую ценность в данном случае, как ни странно, представляют VIN-коды более чем десяти миллионов машин, хранящиеся в базе. VIN могут быть использованы для «клонирования» автомобилей и выпуска дубликатов ключей (только на прошлой неделе мы рассказывали об угонщиках, которые применяли такую технику).
Специалисты Kromtech Security уже предоставили копию незащищенной базы в распоряжение операторов агрегатора утечек Have I Been Pwned. В настоящее время специалисты сайта обрабатывают данные, и вскоре владельцы автомобилей получат возможность проверить свои коды VIN и личные данные, и убедиться, что не стали жертвой утечки данных.
