Articolul a apărut inițial pe Motherboard
Un hacker a reușit să intre în mii de conturi de utilizatori a două aplicații GPS, ceea ce i-a dat posibilitatea să monitorizeze locațiile a zeci de mii de vehicule și chiar să oprească motoarele unora dintre ele când erau în mișcare, a descoperit Motherboard.
Videos by VICE
Hackerul, cunoscut sub numele de L&M, a declarat pentru Motherboard că a reușit să spargă mai mult de 7 000 de conturi din iTrack și peste 20 000 de conturi din ProTrack, două aplicații folosite de companii pentru monitorizarea și gestionarea flotei de vehicule prin intermediul sistemului GPS. Hackerul a reușit să urmărească vehiculele prin mai multe țări din lume, inclusiv Africa de Sud, Maroc, India sau Filipine. La unele mașini, software-ul are posibilitatea de a opri motoarele mașinilor de la distanță, pentru mașinile care s-au oprit sau care merg cu mai puțin de 19 kilometri pe oră, conform producătorului unui anume tip de aparatură pentru monitorizare GPS.
Prin analizarea aplicațiilor iTrack și ProTrack, L&M a spus că și-a dat seama că toți clienții primesc în mod automat parola 123456 când își creează conturi de utilizator.
În acel moment, hackerul a spus că a folosit un atac de tip brute force pentru „milioane de nume de utilizator” prin canalele API ale aplicațiilor. Apoi, el a declarat că a folosit un script pentru a încerca să se logheze folosind acele nume de utilizator și parola de început.
Asta i-a permis să intre în milioane de conturi de utilizator care încă foloseau parola primită la început și să extragă date din ele.
Conform unei mostre de date de la câțiva utilizatori pe care L&M a arătat-o pentru Motherboard, hackerul a reușit să adune o mică comoară de informații de la clienții ProTrack și iTrack, inclusiv: numele și modelul aparatului de GPS pe care îl folosesc, numele de identificare unice ale acestor aparate (tehnic cunoscute drept numere IMEI), numele de utilizatori, numele reale, numere de telefon, adrese de mail și adrese fizice. (Conform lui L&M, nu a reușit să obțină toate aceste date pentru toți utilizatorii, pentru unii a reușit să afle doar o parte din informațiile de mai sus.)
Motherboard a reușit să confirme această scurgere de date comunicând cu cei patru utilizatori din mostra de date arătată de L&M, ei au confirmat că datele furnizate de hacker erau reale.
„Ținta mea a fost compania, nu clienții ei. Clienții sunt expuși unui risc din cauza companiei”, a afirma L&M către Motherboard în timpul unei sesiuni de chat. „Ei au nevoie să facă bani, dar nu vor să protejeze informațiile clienților mai bine.”
L&M a pretins de asemenea că poate să facă mult mai mult decât doar să monitorizeze vehiculele clienților.
„Pot în mod clar să cauzez o problemă majoră de trafic în toată lumea”, a spus L&M. „Am control absolut asupra a sute de mii de vehicule și, printr-o singură atingere, pot să opresc motorul acestor mașini.”
Cu toate acestea, hackerul a spus că nu a oprit motorul niciunui vehicul, pentru că ar fi prea periculos. Deși hackerul nu a demonstrat că poate să oprească motorul unei mașini, un reprezentant al Concox, producătorului unui aparat hardware pentru monitorizare GPS folosit de unii utilizatori ai iTrack și ProTrack, a confirmat pentru Motherboard că motoarele pot fi oprite de la distanță dacă vehiculele circulă cu sub 20 de kilometri pe oră.
Aplicațiile au o funcție de „oprire motor”, așa cum se poate vedea dintr-un screenshot transmis de hacker.
Rahim Luqmaan, deținătorul Probotik Systems, o companie din Africa de Sud care folosește ProTrack, a confirmat prin telefon pentru Motherboard că e posibil să folosești ProTrack pentru a opri motoare, dacă un tehnician activează această funcție atunci când instalează aparatul pentru monitorizare GPS.
„Asta face situația cu atât mai periculoasă”, a afirmat Luqmaan cu privire la scurgerea de date. „Choar poate să se joace [..] cu clienții și utilizatorii noștri.”
ProTrack este făcută de iTryBrand Technology, o companie din Shenzen, China. Aplicația iTrack este făcută de SEEWORLD, o companie din Guangzhou, China. Atât iTryBrand, cât și SEEWORLD vând aparate de GPS și platforme de tip cloud pentru gestionarea lor direct către utilizatori, dar și către alte companii care apoi distribuie aparatele și serviciile mai departe utilizatorilor. L&M pretinde că a spart și conturile unora dintre distribuitori, ceea ce îi permite să monitorizeze și să controleze vehiculele și conturile clienților acestora.
Pe pagina sa de Google Play, iTrack face reclamă la un cont demo cu numele de utilizator „Demo” și parola „123456”. ProTrack le oferă potențialilor clienți un cont pentru demonstrație gratuit pe site-ul lor
. Săptămâna aceasta, când Motherboard le-a testat acest demo, site-ul a afișat o notificare pentru schimbarea parolei pentru că „parola de bază este prea simplă”. Săptămâna trecută, când Motherboard a mai făcut un test similar pentru prima dată, acest mesaj nu a fost afișat. API-ul lui ProTrack, de altfel, menționează parola „123456” și în documentația sa.
L&M a spus că ProTrack a luat legătura săptămâna aceasta cu clienții săi prin intermediul aplicației și prin email, rugându-i să-și schimbe parolele, dar nu forțează încă resetarea parolelor.
ProTrack a negat scurgerea de date, dar a confirmat că și-a încurajat utilizatorii să-și schimbe parolele. „Sistemul nostru funcționează foarte bine și schimbat parola e fel normal pentru securitate de cont ca la alte sisteme, vreo problemă?”, a declarat un reprezentant al companiei. „Mai mult, de ce contactezi la clienții noștri pentru acest lucru care îl face să primează mesaj plictisitor? De ce contactează hacker la tine?” (mesajul în care a fost transmis de reprezentantul companiei – n.r.).
L&M a spus că a contactat companiile cerând o recompensă pentru descoperirea vulnerabilităților. Într-un screenshot al răspunsului pe care l-a primit de la ProTrack, un reprezentant al companiei îi cere hackerului să le ofere „un preț mic”. „Dacă te plătim, ne dai tool-ul și nu ne mai spargi contul? Cum putem fi siguri de asta?”, au spus ei prin mail. „Scuze pentru multe întrebări, e prima dată când ne întâlnim cu așa un dezastru.”
Hackerul nu a vrut să ne mai detalieze și restul interacțiunilor sale cu compania. Dar a spus că a obținut ce dorise. „Au trimis un avertisment după atacul meu, iar asta a fost un succes pentru mine. Să-i forțez să se ocupe de securitate”, a afirmat L&M. „Ei știu acum că există un risc pentru clienții lor. Și au început să se concentreze pe securizarea serviciului, măcar un pic.”