保護されていないデータベースには、車やその所有者に関する情報が含まれています。
Kromtech Security Research Center社の研究者は、1千万台以上の識別番号(VIN)が含まれた、アクセス可能なデータベースを発見しました。専門家によると、データベースは、マーケティングもしくは、米国の自動車ディーラーのために作成されました。
データはすでに137日間、パブリックドメイン上にあり、検索の仕方を知っている誰もが、インターネットをスキャンすることができ、許可なしに、データベースをダウンロードすることができます。その内容は、それぞれの3つの主要セクションに分割されています。クライアント、車両、及び車の販売に関する情報が含まれています。
顧客データを持つテーブルには、氏名、住所、自宅と会社の電話番号、電子メールアドレス、生年月日、性別、12歳以上の子供の数などの情報が含まれています。車のデータのテーブルには、車の識別番号だけでなく、モデルに関する情報、モデルの年式、走行距離や売り手の情報が含まれています。3番目のテーブルには、識別番号、走行距離、毎月の支払い額、購入価格と支払い(現金、銀行小切手やクレジットカード)の情報が含まれています。
データベースに含まれる情報は、詐欺的な目的のため、特に、個人情報の盗難のために、サイバー犯罪者によって使用される可能性があります。ここ10年の間、識別番号を利用して、窃盗犯は、正式登録され識別番号を盗難車のために発行しました。攻撃者、車の鍵を複製するために、識別番号を使用することもできます。典型的な例は、カリフォルニア州南部でジープジープラングラーを盗み、最近FBIに逮捕されたメキシコのギャングです。
車両識別番号は、17個の文字からなる車両の固有のコードです。コードは、製造者及び車両の特性、および製造年についての情報を提供します。
「車のクローニング」(または、「識別番号のクローニング」としても知られる)は、盗難車の識別番号を隠すために、公式登録された車の識別番号の使用を含む詐欺的手法です。
記事提供元: http://www.securitylab.ru
翻訳: Kazunori Yoshida