fbpx
Технологии

Хакер получил доступ к сотне тысяч автомобилей по всему миру без особых усилий

Он утверждает, что нажатия на одну кнопку было бы достаточно, чтобы внезапно остановить их двигатели и создать хаос на дорогах.

Хакер под именем L&M взломал кучу аккаунтов пользователей двух приложений для GPS-трекинга. В итоге он получил данные о расположении автомобилей и возможность управлять некоторыми из них.

7 тысяч аккаунтов сервиса iTrack и 20 тысяч аккаунтов сервиса ProTrack принадлежали людям, которые используют GPS-трекеры для контроля и мониторинга состояния своей машины. В руках у хакера оказался доступ к автомобилям по всем миру — от Южной Африки до Филиппин. В некоторых машинах подключённый к внутреннему компьютеру трекер позволял останавливать двигатель при движении со скоростью 20 или меньше км/ч.

При покупке трекера и подключении к сервису клиенты получали стандартный пароль «123456», который многие просто не пытались даже сменить. Поэтому для доступа к ряду аккаунтов не понадобилось прикладывать особых усилий.

А мы напоминаем: очередное исследование показало, что «123456» — по-прежнему самый популярный пароль в мире.

Кроме того, проблемы были и внутри самих сервисов. Хакеру удалось с помощью API трекеров добраться до списка миллионов имён пользователей. А уже среди них он с помощью скрипта нашёл десятки тысяч незащищённых аккаунтов.

После взлома L&M получил доступ к целому массиву персональных данных: модель и уникальный номер GPS-трекера (он же IMEI), реальные имена, номера телефонов, почтовые и физические адреса владельцев автомобилей.

Screenshot of a map or Morocco and cars tracked via GPS
Скриншот карты, на которой L&M может отслеживать перемещение всех автомобилей со взломанной трекинговой системой

Я точно могу создать огромные проблемы с движением по всему миру. У меня есть полный контроль над сотнями тысяч автомобилей, и одним касанием я могу остановить их двигатели.

Из интервью с хакером L&M

Тем не менее, целью хакера был не мировой хаос, а выявление уязвимостей в системе. Этим взломом он показал, насколько легкомысленно сами компании-разработчики относятся к безопасности своих клиентов.

Оба сервиса — iTrack и ProTrack — разработаны китайскими компаниями. Они продают как сами устройства для отслеживания, так и программное обеспечение для них. Этими сервисами очень часто пользуются компании с большими автопарками. А это значит, что доступ к одному аккаунту автоматически даёт возможность управлять всеми подключёнными к нему автомобилями.

L&M сообщил компаниям о найденной уязвимости и попросил заплатить за ней. Пока в сервисах осторожно относятся к диалогу с хакером и не торопятся идти с ним на сделку. Кроме того, в ProTrack отрицают, что кто-то мог получить доступ к их данным. Но при этом сделали рассылку по клиентам с предложением сменить пароль.

Ранее мы уже рассказывали о том, как легко взломать любого человека при бронировании гостиницы.

Главная проблема во всех этих случаях даже не в том, что какой-то хакер нашёл уязвимость. Проблема в том, что компании продолжают отрицать трещины в своей безопасности. Они так боятся потерять прибыль, что готовы делать вид для своих клиентов, будто всё в порядке. Хотя это на самом деле не так. Пока в мире хватает «белых хакеров», которым важнее найти уязвимость, чем воспользоваться ей. Да и проникновение технологий уже глубоко, но ещё недостаточно для терракта с миллионами жертв. Но время идёт. Кто гарантирует, что через несколько лет, когда в автомобилях перестанут ставить даже руль, не появится настоящий хакер-злодей?

52580509