«Я могу создать серьезную проблему с дорожным движением во всем мире» — заявил хакер.
Автор: Лоренцо Франчески-Биккерай
Издание Motherboard узнало, что хакер взломал тысячи учетных записей, принадлежащих пользователям двух приложений GPS-трекера, что позволило ему отслеживать местоположения десятков тысяч транспортных средств и даже выключать двигатели для некоторых из них во время движения.
Хакер по имени L&M сообщил Motherboard, что взломал более 7000 учетных записей сервиса iTrack и более 20 000 учетных записей сервиса ProTrack, которые используются для мониторинга и управления транспортными средствами с помощью GPS. Хакер смог отследить транспортные средства в нескольких странах мира, включая Южную Африку, Марокко, Индию и Филиппины. В некоторых автомобилях программное обеспечение имеет возможность удаленного отключения двигателей транспортных средств, которые остановлены или движутся со скоростью 12 миль в час или медленнее, в зависимости от производителя устройств.
В результате реинжиниринга приложений Android ProTrack и iTrack L&M узнал, что при регистрации всем клиентам предоставляется пароль по умолчанию 123456.
После этого хакеру удалось получить доступ к «миллионам имен пользователей» через API приложений. Затем он написал скрипт для попытки входа в систему с использованием этих имен пользователей и пароля по умолчанию.
Согласно образцу пользовательских данных L&M, которые он представил Motherboard, хакеру удалось получить огромную базу данных клиентов ProTrack и iTrack, в том числе: имя и модель устройств GPS, которые они используют, уникальные идентификационные номера устройств (номер IMEI); имена пользователей, настоящие имена, номера телефонов, адреса электронной почты и физические адреса (для некоторых пользователей оказалась доступной только часть вышеуказанной информации).
Motherboard смогла подтвердить утечку данных, поговорив с четырьмя пользователями, включенными в образец L&M, которые подтвердили, что данные, предоставленные хакером, были верными.
«Моей целью была компания, а не клиенты. Клиенты подвергаются риску из-за компании» — рассказал L&M в онлайн-чате. «Они хотят зарабатывать деньги и не хотят защищать клиентов».
L&M также утверждает, что может сделать гораздо больше, чем просто контролировать автомобили клиентов.
«Я могу создать большую проблему на дорогах во всем мире» — рассказал он. «Я полностью управляю сотнями тысяч автомобилей, и одним касанием могу остановить двигатели этих автомобилей».
Тем не менее, согласно утверждению злоумышленника, он никогда не убивал двигатель машины, поскольку это было бы слишком опасно. Хотя хакер не доказал, что может выключать двигатели, представитель Concox, создателя одного из аппаратных устройств GPS, которыми пользуются некоторые пользователи ProTrack GPS и iTrack, подтвердил Motherboard, что клиенты могут дистанционно выключать двигатели, если скорость машины составляет менее 20 километров в час (около 12 миль в час).
В приложениях есть функция «остановить двигатель», согласно скриншоту, предоставленному хакером.
Рахим Лукман, владелец Probotik Systems, южноафриканской компании, которая использует ProTrack, заявил в телефонном разговоре с Motherboard, что можно использовать ProTrack для остановки двигателей, если специалист активирует эту функцию при установке устройств GPS.
Приложение ProTrack создано iTryBrand Technology, компанией, базирующейся в Шэньчжэне, Китай. iTrack сделан компанией SEEWORLD, базирующейся в Гуанчжоу, Китай. Как iTryBrand, так и SEEWORLD продают аппаратные устройства слежения и облачные платформы для управления напрямую пользователям и компаниям, которые затем распространяют оборудование и услуги. L&M утверждал, что взломал счета некоторых клиентов.
На своей странице приложения в Google Play iTrack рекламирует бесплатный демо-счет с именем пользователя «Demo» и паролем «123456.» ProTrack предоставляет потенциальным клиентам бесплатную демо-версию на своем веб-сайте. После публикации Motherboard на сайте второго сервиса появилось приглашение сменить пароль, потому что «пароль по умолчанию слишком прост». Судя по пользовательскому интерфейсу обоих приложений, похоже, что ProTrack и iTrack используют один и тот же базовый код.
L&M сообщил, что ProTrack обратился к клиентам через приложение и по электронной почте, попросив сменить пароль на этой неделе, но пока не требует сброса пароля.
ProTrack в комментарии по электронной почте опровергли взлом, но подтвердил, что побуждают пользователей менять пароли.
«Наша система работает очень хорошо, и смена пароля является нормальным способом обеспечения безопасности аккаунта, как и другие системы» — заявил представитель компании.
В iTrack не ответили на запрос о комментарии.
L&M рассказал, что связался с компаниями попросив вознаграждение. На скриншоте ответа, который он получил от ProTrack, представитель компании согласился с запросом. Хакер отказался больше рассказывать о своих взаимодействиях с компанией. Но он сказал, что получил то, что хотел и в целом добился своего.
Оригинал: Motherboard
