Некто L&M взломал более 7 тыс. учетных записей пользователей iTrack и более 20 тыс. учетных записей пользователей ProTrack.
«Я могу вызвать пробки на дорогах по всему миру», – заявил хакер, взломавший тысячи учетных записей пользователей навигационных мобильных приложений.
Исследователь безопасности под псевдонимом L&M сообщил изданию Motherboard о взломе более 7 тыс. учетных записей пользователей iTrack и более 20 тыс. учетных записей пользователей ProTrack. Оба приложения позволяют компаниям осуществлять мониторинг и управлять своим парком транспортных средств через GPS-трекеры. С их помощью L&M смог отслеживать автомобили в нескольких странах, в том числе в ЮАР, Марокко, Индии и на Филиппинах. В некоторых случаях приложения позволяли удаленно выключать двигатели машин во время их остановки или замедления скорости до 20 км/ч и ниже.
Осуществив реверс-инжиниринг обоих приложений (версий для Android), исследователь обнаружил, что при регистрации пользователям дается пароль по умолчанию «123456». Далее с помощью брутфорса он подобрал миллионы логинов через API. Получив логины, L&M написал скрипт для авторизации с помощью пароля по умолчанию и подобранных имен пользователей. Таким образом ему удалось взломать тысячи учетных записей и извлечь из них данные.
В переданных журналистам Motherboard образцах данных содержались названия, модели и идентификаторы IMEI используемых GPS-трекеров, логины и настоящие имена пользователей, телефонные номера, электронные и физические адреса. По словам, вышеупомянутые сведения удалось получить не обо всех пользователях – для ряда из них были доступны только некоторые данные. Журналисты связались с несколькими затронутыми утечкой пользователями и подтвердили подлинность предоставленных L&M образцов.
Исследователю удалось не только отслеживать пользователей. «У меня был полный контроль над сотнями тысяч транспортных средств, и всего в одно касание я мог остановить их моторы», – заявил L&M. Правда, по словам исследователя, он не рискнул воспользоваться открывшейся возможностью.