Новости Trackimo: геолокация GPS-трекеров открыта для всех

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.923
Репутация
62.740
Реакции
277.130
RUB
0
Слабый пароль открыл доступ к конфиденциальным данным.

image



Хакер взломал внутренний инструмент компании Trackimo и получил доступ к истории перемещений пользователей. Trackimo продает GPS-трекеры, которые используются для отслеживания членов семьи, домашних животных, автомобилей и ценного имущества.

Хакер «maia arson crimew» рассказал, что ему удалось проникнуть во внутреннюю систему поддержки Trackimo после того, как он нашел электронное письмо с паролем к инструменту диагностики Trackimo Troubleshooter. С помощью инструмента смог отслеживать не только свое устройство, но и устройства других пользователей. По словам maia, система оказалась уязвимой из-за простого пароля, который было легко угадать.

Инструмент Trackimo Troubleshooter позволяет отображать недавние местоположения устройства в интерфейсе, похожем на Google Maps. Данные основаны на сигналах GSM, WiFi и GPS, получаемых с устройства. Кроме того, панель инструмента показывает информацию о владельце устройства, включая его электронную почту, имя и номер телефона. Также предоставляются диагностические данные, такие как количество непреднамеренных перезагрузок устройства и случаи работы при низком заряде батареи.


Интерфейс Trackimo Troubleshooter, отображающий информацию о трекере

В своем отчете о взломе maia подробно описал, как он получил доступ к системам Trackimo. Хакер купил устройство Trackimo за $10, оплатил подписку и начал изучать веб-интерфейс компании. В процессе обнаружились закодированные имена пользователей и пароли, встроенные в мобильное приложение Trackimo.


Комплект GPS-трекера: магнит для крепления на транспортные средства, ящики и т. д., зажим для крепления к ремню или одежде, силиконовый чехол для защиты от падений и брызг, а также просто шнур.

Анализируя электронные письма службы поддержки Trackimo, maia нашел еще один пароль, который позволил войти в Trackimo Troubleshooter. Инструмент открыл доступ практически ко всем данным любого устройства, просто по его идентификатору.

Компания Trackimo заявила, что хакер больше не имеет доступа к их системам, пароли были изменены, а инструмент Trackimo Troubleshooter отключен. Однако maia утверждает, что с помощью инструмента ему удалось получить данные о нескольких устройствах, кроме того, которое он купил. Эти устройства могли быть связаны с полицейскими расследованиями, в которых использовались устройства или данные Trackimo. Однако Trackimo утверждает, что хакер не получил доступ к данным других устройств.

Maia подчеркнул, что сообщил Trackimo обо всех выявленных уязвимостях, и компания устранила проблемы.








 
Сверху Снизу