"Ich kann weltweit ernsthafte Verkehrsprobleme verursachen", sagte er.
Der Hacker hackte Tausende von Konten von Benutzern zweier GPS-Tracking-Anwendungen, wodurch er den Standort von Zehntausenden von Autos verfolgen und sogar die Motoren einiger von ihnen unterwegs abstellen konnte.
Ein Hacker namens L & M teilte Motherboard mit, dass er über 7.000
iTrack- Konten und über 20.000
ProTrack- Konten gehackt habe, Anwendungen, mit denen Unternehmen ihre Flotten mithilfe von GPS verfolgen und verwalten. Der Hacker konnte Autos in mehreren Ländern der Welt verfolgen, darunter Südafrika, Marokko, Indien und die Philippinen. In einigen Fahrzeugen können Sie mit der Software die Motoren aus der Ferne abstellen, während das Fahrzeug je nach Hersteller bestimmter GPS-Ortungsgeräte nicht schneller als 20 km / h stehen oder sich bewegen sollte.
Nach dem Reverse Engineering von Anwendungen für Android ProTrack und iTrack stellte L & M fest, dass alle Clients bei der Registrierung 123456 dieselben Standardkennwörter erhalten.
Und dann konnte der Hacker mithilfe der Anwendungs-APIs mithilfe von Brute Force „Millionen von Benutzernamen“ finden. Anschließend schrieb er ein Skript, das versucht, sich mit den gefundenen Benutzernamen und Standardkennwörtern bei Konten anzumelden.
Dadurch konnte er automatisch die Tausenden von Konten knacken, die das Standardkennwort verwendeten, und Daten daraus extrahieren.
Laut einer Stichprobe von Benutzerdaten, die L & M mit Motherboard geteilt hat, hat der Hacker eine Fülle von Informationen über ProTrack- und iTrack-Clients gesammelt, darunter: Name und Modell des GPS-Beacons, eindeutige IDs (sogenannte IMEIs), Benutzernamen, echte Namen und Telefonnummern , E-Mails und Privatadressen. L & M sagte, es könne nicht alle diese Informationen für jeden Benutzer extrahieren. Für einige wurden Informationen nur teilweise erhalten.
Die Redakteure konnten die Realität des Hacks bestätigen, indem sie mit vier Benutzern aus der L & M-Stichprobe sprachen. Die Befragten bestätigten die Richtigkeit der vom Hacker bereitgestellten Informationen.
„Ich habe mich an das Unternehmen gewandt, nicht an die Kunden. Kunden sind aufgrund der Handlungen des Unternehmens gefährdet, sagten L & M-Redakteure in einem Chat. "Sie müssen Geld verdienen und wollen ihre Kunden nicht schützen."
Screenshot mit einem gehackten BenutzerkontoL & M sagte auch, dass es viel mehr kann als nur die Maschinen der Benutzer zu verfolgen. "Ich kann weltweit ernsthafte Verkehrsprobleme verursachen", sagte er. "Ich habe die volle Kontrolle über Hunderttausende von Autos und mit einer Berührung kann ich ihre Motoren abstellen."
Der Hacker sagte jedoch, er habe nie einen einzigen Motor abgestellt, da dies zu gefährlich wäre. Und obwohl der Hacker nicht nachweisen konnte, dass er den Motor abstellen kann, bestätigte ein Vertreter von Concox, einem Hersteller
eines der von einigen ProTrack GPS- und iTrack-Benutzern verwendeten
Geräte , den Redakteuren, dass Kunden tatsächlich Motoren aus der Ferne abstellen könnten, wenn das Auto langsamer als 20 km / h fährt.
Die Anwendung hat die Fähigkeit, "den Motor zu stoppen", gemäß dem vom Hacker bereitgestellten Screenshot.
Rahim Luckman, Inhaber von Probotik Systems, einem südafrikanischen Unternehmen, das ProTrack verwendet, sagte der Redaktion, dass ProTrack zum Stoppen von Motoren verwendet werden kann, wenn ein Techniker diese Funktion bei der Installation eines GPS-Beacons aktiviert. "Und das macht die Situation noch gefährlicher", sagte Luckman über das Datenleck. "Es kann wirklich Verwirrung bei unseren Kunden und Benutzern verursachen."
ProTrack wird von iTryBrand Technology aus Shenzhen, China, unterstützt. iTrack wird von SEEWORLD aus Guangzhou, China, unterstützt. Beide Unternehmen verkaufen Tracking-Geräte und Cloud-Dienste sowohl an Einzelpersonen als auch an Software- und Gerätehändler. L & M sagte, es habe die Konten einiger Distributoren gehackt, wodurch er Geräte verfolgen und die Konten ihrer Benutzer kontrollieren konnte.
Auf
der App-Seite bei Google Play bewirbt iTrack ein kostenloses Demo-Konto mit dem Benutzernamen Demo und dem Passwort 123456. ProTrack bietet Nutzern eine kostenlose Demo
auf ihrer Website . Diese Woche, als die Redaktion die Demo überprüfte, warnte die Site vor der Notwendigkeit, das Passwort zu ändern, da "das Standardpasswort zu einfach ist". Vor einer Woche war diese Nachricht noch nicht. In der ProTrack-API-
Dokumentation wird auch das Standardkennwort 123456 angegeben.
Gemessen an der Schnittstelle beider Anwendungen verwenden sie denselben Basiscode.
Laut L & M hat ProTrack diese Woche Kunden über die App und per E-Mail kontaktiert und sie gebeten, die Passwörter zu ändern, hat dies jedoch bisher nicht erzwungen. ProTrack lehnt Datenlecks ab, bestätigt jedoch, dass es Benutzern angeboten hat, Kennwörter zu ändern.
"Unser System funktioniert sehr gut und das Ändern eines Passworts ist der normale Weg, um die Kontosicherheit aufrechtzuerhalten", sagte ein Unternehmenssprecher. "Außerdem, warum kontaktieren Sie unsere Kunden und belästigen sie?" Warum hat der Hacker Sie kontaktiert? "
ITrack hat auf eine Anfrage nach einem Kommentar nicht geantwortet.
L & M sagte, es habe Unternehmen kontaktiert, die auf Vergütung angewiesen seien. In dem Screenshot, in dem die Antwort von ProTrack sichtbar war, bat der Unternehmensvertreter den Hacker, ihnen einen „niedrigen Preis“ zuzuweisen.
"Wenn wir bezahlen, geben Sie uns Ihr Werkzeug und hacken unser Konto nicht mehr?" Wie können wir uns dessen sicher sein? Es tut uns leid, dass es so viele Fragen gibt, aber dies ist das erste Mal, dass wir diesem Albtraum begegnen. "
Der Hacker lehnte es ab, sich weiter zum Unternehmen zu äußern. Aber er sagte, er habe erhalten, was er wollte. „Mein Angriff hat sie gewarnt, und ich halte dies für einen Erfolg. Sorgen Sie sich um die Sicherheit “, sagte L & M. "Jetzt wissen sie, dass ihre Benutzer gefährdet sind und konzentrieren sich darauf, die Sicherheit ihres Dienstes leicht zu verbessern."