"Puedo crear serios problemas de tráfico en todo el mundo", dijo.
El hacker hackeó miles de cuentas pertenecientes a usuarios de dos aplicaciones de rastreo GPS, lo que le permitió rastrear la ubicación de decenas de miles de automóviles e incluso apagar los motores de algunos de ellos mientras viaja.
Un hacker llamado L&M le dijo a Motherboard que hackeó más de 7,000 cuentas
iTrack y más de 20,000 cuentas
ProTrack , aplicaciones que las compañías usan para rastrear y administrar sus flotas usando GPS. El hacker pudo rastrear autos en varios países del mundo, incluyendo Sudáfrica, Marruecos, India y Filipinas. En algunos automóviles, el software le permite apagar los motores de forma remota, mientras que el automóvil debe pararse o moverse a una velocidad no superior a 20 km / h, dependiendo del fabricante de ciertos dispositivos de rastreo GPS.
Después de las aplicaciones de ingeniería inversa para Android ProTrack e iTrack, L&M, dijo, se dio cuenta de que todos los clientes reciben las mismas contraseñas predeterminadas al registrarse, 123456.
Y luego el hacker pudo encontrar "millones de nombres de usuario" utilizando las API de la aplicación por simple fuerza bruta. Luego escribió una secuencia de comandos que intenta iniciar sesión en las cuentas utilizando los nombres de usuario encontrados y las contraseñas predeterminadas.
Esto le permitió descifrar automáticamente las miles de cuentas que usaban la contraseña predeterminada y extraer datos de ellas.
Según una muestra de datos de usuarios que L&M compartió con Motherboard, el hacker recopiló una gran cantidad de información sobre los clientes de ProTrack e iTrack, que incluyen: el nombre y el modelo de la baliza GPS, identificaciones únicas (conocidas como IMEI), nombres de usuario, sus nombres reales, números de teléfono , correos electrónicos y domicilios. L&M dijo que no podía extraer toda esta información para cada usuario; para algunos, la información solo se recibió parcialmente.
Los editores pudieron confirmar la realidad del hack al hablar con cuatro usuarios de la muestra de L&M. Los entrevistados confirmaron la exactitud de la información proporcionada por el hacker.
“Apunté a la empresa, no a los clientes. Los clientes están en riesgo debido a las acciones de la compañía, dijeron los editores de L&M en un chat. "Necesitan ganar dinero y no quieren proteger a sus clientes".
Captura de pantalla con una cuenta de usuario pirateadaL&M también dijo que puede hacer mucho más que simplemente rastrear las máquinas de los usuarios. "Puedo crear serios problemas de tráfico en todo el mundo", dijo. "Tengo control total sobre cientos de miles de automóviles, y con un solo toque puedo detener sus motores".
Sin embargo, el pirata informático dijo que nunca había apagado un solo motor, ya que eso sería demasiado peligroso. Y aunque el pirata informático no demostró su capacidad para apagar el motor, un representante de Concox, fabricante de
uno de los dispositivos utilizados por algunos usuarios de ProTrack GPS e iTrack, confirmó a los editores que los clientes podían apagar los motores de forma remota si el automóvil viajaba a una velocidad inferior a 20 km / h.
La aplicación tiene la capacidad de "detener el motor", de acuerdo con la captura de pantalla proporcionada por el hacker.
Rahim Luckman, el dueño de Probotik Systems, una compañía sudafricana que usa ProTrack, le dijo al personal editorial que ProTrack puede usarse para detener motores si un técnico enciende esta función cuando instala una baliza GPS. "Y eso hace que la situación sea aún más peligrosa", dijo Luckman sobre la filtración de datos. "Realmente puede crear confusión para nuestros clientes y usuarios".
ProTrack es compatible con la tecnología iTryBrand de Shenzhen, China. iTrack es compatible con SEEWORLD de Guangzhou, China. Ambas compañías venden dispositivos de rastreo y servicios en la nube tanto a individuos como a distribuidores de software y dispositivos. L&M dijo que pirateó las cuentas de algunos distribuidores, lo que le permitió rastrear dispositivos y controlar las cuentas de sus usuarios.
En
la página de la aplicación en Google Play, iTrack anuncia una cuenta demo gratuita con el nombre de usuario Demo y la contraseña 123456. ProTrack ofrece a los usuarios una demo gratuita
en su sitio . Esta semana, cuando el personal editorial revisó la demostración, el sitio emitió una advertencia sobre la necesidad de cambiar la contraseña, porque "la contraseña predeterminada es demasiado simple". Hace una semana este mensaje aún no estaba. La
documentación de la API ProTrack también especifica una contraseña predeterminada de 123456.
A juzgar por la interfaz de ambas aplicaciones, utilizan el mismo código básico.
L&M dijo que ProTrack esta semana contactó a los clientes a través de la aplicación y por correo, pidiéndoles que cambien las contraseñas, pero hasta ahora no se ha visto obligado a hacerlo. ProTrack niega la fuga de datos, pero confirma que ofreció a los usuarios cambiar las contraseñas.
"Nuestro sistema funciona muy bien, y cambiar una contraseña es la forma normal de mantener la seguridad de la cuenta", dijo un portavoz de la compañía. "Además, ¿por qué te pones en contacto con nuestros clientes y los molestas?" ¿Por qué te contactó el hacker?
ITrack no respondió a una solicitud de comentarios.
L&M dijo que contactó a compañías que dependen de la remuneración. En la captura de pantalla donde la respuesta de ProTrack era visible, el representante de la compañía le pidió al hacker que les asignara un "precio bajo".
"Si pagamos, ¿nos darás tu herramienta y ya no hackearás nuestra cuenta?" ¿Cómo podemos estar seguros de esto? Lamento que haya tantas preguntas, pero esta es la primera vez que nos encontramos con esta pesadilla ".
El hacker declinó hacer más comentarios sobre la compañía. Pero dijo que recibió lo que quería. “Mi ataque les advirtió, y considero que esto fue un éxito. Haz que se preocupen por la seguridad ”, dijo L&M. "Ahora saben que sus usuarios están en riesgo y se están centrando en mejorar ligeramente la seguridad de su servicio".