Фахівці компанії Kromtech Security виявили в інтернеті незахищену БД, що містить більше 10 млн автомобільних VIN (ідентифікаційний номер транспортного засобу, Vehicle identification number). За даними дослідників, БД доступна всім охочим вже 137 днів і, судячи з усього, була складена кимось з маркетинговими цілями.
Грунтуючись на інформації, що міститься в базі, аналітики припускають, що БД належить великому американському автосалону і, можливо, навіть не одному. Так, база даних розбита на три основні розділи, в яких можна знайти дані про покупців, машинах і інформацію про продажі.
Дані про клієнтів включають в себе повне ім'я, адреса, мобільний, робочий і домашній телефони, email-адресу, дату народження, стать, а також дані про кількість дітей старше 12 років. Не менш вичерпним є розділ з даними про автомобіль. У нього входить інформація про VIN-коді авто, моделі, модельний рік, пробігу і так далі. Останній розділ, в якому зберігаються дані про продані авто, дозволить дізнатися не тільки характеристики автомобіля (наприклад, VIN і пробіг), але також детальну інформацію про те, як саме була здійснена операція: ціну продажу, спосіб оплати (готівка, карта, банківський переклад), розмір щомісячного платежу.
Дослідники попереджають, що така кількість персональних даних може стати справжнім подарунком для зловмисників, які можуть використовувати інформацію з БД для крадіжки особистих даних і різних видів мережевого шахрайства.
Однак найбільшу цінність в даному випадку, як не дивно, представляють VIN-коди більш ніж десяти мільйонів машин, що зберігаються в базі. VIN можуть бути використані для «клонування» автомобілів і випуску дублікатів ключів (тільки минулого тижня ми розповідали про викрадачів, які застосовували таку техніку).
Фахівці Kromtech Security вже надали копію незахищеною бази в розпорядження операторів агрегатора витоків Have I Been Pwned . В даний час фахівці сайту обробляють дані, і незабаром власники автомобілів отримають можливість перевірити свої коди VIN і особисті дані, і переконатися, що не стали жертвою витоку даних.