Hakeriem izdevās uzlauzt Subaru Starlink pakalpojumu, sniedzot tiem neierobežotu piekļuvi transportlīdzekļiem ASV, Kanādā un Japānā.
Ētiskajiem hakeriem Semam Karijam un Šubhamam Šaham izdevās uzlauzt Subaru Starlink pakalpojumu. Tādējādi viņi ieguva neierobežotu piekļuvi visiem transportlīdzekļiem un klientu kontiem ASV, Kanādā un Japānā.
Karijs ilustrēja, kas bija iespējams pēc tam, kad viņiem veiksmīgi izdevās iefiltrēties Subaru sistēmā. Piemēram, viņi varēja attālināti ieslēgt, apturēt, bloķēt, atbloķēt un izsekot katra atsevišķa transportlīdzekļa atrašanās vietu.
Pēdējā gada atrašanās vietas vēsturi varēja izsekot līdz pat 5 metru precizitātei. Tāpat bija pieejami arī citi jutīgi klientu dati, tostarp katras kredītkartes pēdējie 4 cipari un piekļuves kods viņu automašīnām.
Visbeidzot, hakeri varēja redzēt visas klientu apkalpošanas mijiedarbības, iepriekšējos īpašniekus, nobraukuma skaitītāju un pārdošanas vēsturi, kā arī citu informāciju, kas nav uzskaitīta vai brīvi pieejama.
Ātra pieslēgšanās Subaru tīklam
Kā jau tas ētiskiem hakeriem pienākas, par šo ievainojamību Karijs un Šahs ziņoja uzņēmumam Subaru, kas 24 stundu laikā novērsa noplūdi. Nav zināms, vai ļaunprātīgi hakeri jebkad piekļāvās Japānas autoražotāja Starlink sistēmām.
Līdzīga situācija 2024. gada beigās notika Volkswagen CARIAD. Toreiz, izmantojot sistēmas ievainojamību, pieejami kļuva 600 000 automašīnu dati. Arī šajā gadījumā ētiskie hakeri ziņoja uzņēmumam par draudiem, pirms notika publisks datu zaudējums.
Automašīnas zina daudz
Iepriekš veiktajā Mozilla pētījumā jau pierādīts, ka mūsdienu automašīnas ir privātuma murgs. Ar informāciju, ko “savienotie automobiļi” nodod savam ražotājam, var izsekot ļoti daudz personas datu.
Tomēr tie ir dati, kas paliek automobiļu ražotāju ofisu sienās un selektīvi tiek pārdoti tālāk. Tas jau pats par sevi ir pietiekami slikti, taču, lai nodrošinātu pilnvērtīgu drošības līmeni, būtu jānovērš iespēja jebkuram piekļūt šiem datiem. Tagad izrādās, kāda zelta vērtē paveras ļaundariem, ja viņi var uzlauzt automobiļu ražotāja centrālo paneli.
Ir bezatbildīgi šādus datus vienkārši padarīt uzreiz apskatāmus, pat ar administratora kontu programmatūras inženieriem, neprasot nekādu atrašanās vietas atļauju. Ir jābūt zināmai berzei starp administratoru un piekļuvi neanonimizētiem klientu datiem.
Tas vēlreiz parāda, cik bīstama ir pārlieku plaša datu vākšana par klientiem. Šoreiz labi ir tas, ka ētiskie hakeri, iespējams, apsteidza savus ļaunprātīgos kolēģus, lai gan nekad nevar droši apgalvot, ka tas tā patiešām bija.
Avots: Techzine
