«Je peux créer de graves problèmes de circulation dans le monde», a-t-il déclaré.
Le pirate a piraté des milliers de comptes appartenant à des utilisateurs de deux applications de suivi GPS, ce qui lui a permis de suivre l'emplacement de dizaines de milliers de voitures et même de couper les moteurs de certaines d'entre elles en déplacement.
Un pirate informatique nommé L&M a déclaré à Motherboard qu'il avait piraté plus de 7 000 comptes
iTrack et plus de 20 000 comptes
ProTrack , des applications que les entreprises utilisent pour suivre et gérer leurs flottes à l'aide du GPS. Le pirate a pu suivre des voitures dans plusieurs pays du monde, notamment en Afrique du Sud, au Maroc, en Inde et aux Philippines. Dans certaines voitures, le logiciel vous permet d'éteindre les moteurs à distance, tandis que la voiture ne doit pas se tenir debout ou se déplacer à moins de 20 km / h, selon le fabricant de certains appareils de suivi GPS.
Après les applications d'ingénierie inverse pour Android ProTrack et iTrack, L&M, a-t-il dit, s'est rendu compte que tous les clients reçoivent les mêmes mots de passe par défaut lors de l'enregistrement, 123456.
Et puis le pirate a pu trouver «des millions de noms d'utilisateurs» en utilisant les API d'application par simple force brute. Il a ensuite écrit un script qui tente de se connecter aux comptes en utilisant les noms d'utilisateur et les mots de passe par défaut trouvés.
Cela lui a permis de casser automatiquement les milliers de comptes qui utilisaient le mot de passe par défaut et d'en extraire des données.
Selon un échantillon de données utilisateur que L&M a partagées avec la carte mère, le pirate a collecté une multitude d'informations sur les clients ProTrack et iTrack, notamment: le nom et le modèle de la balise GPS, des identifiants uniques (appelés IMEI), des noms d'utilisateur, leurs vrais noms, numéros de téléphone , e-mails et adresses personnelles. L&M a déclaré qu'il ne pouvait pas extraire toutes ces informations pour chaque utilisateur; pour certains, les informations n'ont été que partiellement reçues.
Les éditeurs ont pu confirmer la réalité du hack en discutant avec quatre utilisateurs de l'échantillon L&M. Les personnes interrogées ont confirmé l'exactitude des informations fournies par le pirate.
«Je visais l'entreprise, pas les clients. Les clients sont à risque en raison des actions de l'entreprise, ont déclaré les rédacteurs de L&M lors d'un chat. «Ils ont besoin de gagner de l'argent et ils ne veulent pas protéger leurs clients.»
Capture d'écran à l'aide d'un compte utilisateur piratéL&M a également déclaré qu'il pouvait faire bien plus que simplement suivre les machines des utilisateurs. «Je peux créer de graves problèmes de circulation dans le monde», a-t-il déclaré. "J'ai le contrôle total sur des centaines de milliers de voitures, et d'une seule touche, je peux arrêter leurs moteurs."
Cependant, le pirate a déclaré qu'il n'avait jamais arrêté un seul moteur, car cela serait trop dangereux. Et bien que le pirate n'ait pas prouvé sa capacité à couper le moteur, un représentant de Concox, un fabricant de l'
un des appareils utilisés par certains utilisateurs de ProTrack GPS et iTrack, a confirmé aux rédacteurs en chef que les clients pouvaient en effet arrêter les moteurs à distance si la voiture roulait à une vitesse inférieure à 20 km / h.
L'application a la possibilité de "stopper le moteur", selon la capture d'écran fournie par le pirate.
Rahim Luckman, propriétaire de Probotik Systems, une société sud-africaine utilisant ProTrack, a déclaré à la rédaction que ProTrack peut être utilisé pour arrêter les moteurs si un technicien active cette fonction lors de l'installation d'une balise GPS. "Et cela rend la situation encore plus dangereuse", a déclaré Luckman à propos de la fuite de données. «Cela peut vraiment créer de la confusion pour nos clients et nos utilisateurs.»
ProTrack est pris en charge par la technologie iTryBrand de Shenzhen, en Chine. iTrack est pris en charge par SEEWORLD de Guangzhou, en Chine. Les deux sociétés vendent des appareils de suivi et des services cloud aux particuliers et aux distributeurs de logiciels et d'appareils. L&M a déclaré avoir piraté les comptes de certains distributeurs, ce qui lui a permis de suivre les appareils et de contrôler les comptes de leurs utilisateurs.
Sur
la page de l'application sur Google Play, iTrack annonce un compte de démonstration gratuit avec le nom d'utilisateur Demo et le mot de passe 123456. ProTrack offre aux utilisateurs une démonstration gratuite
sur leur site . Cette semaine, lorsque les éditeurs ont vérifié la démo, le site a émis un avertissement sur la nécessité de changer le mot de passe, car "le mot de passe par défaut est trop simple". Il y a une semaine, ce message n'était pas encore. La
documentation de l' API ProTrack spécifie également un mot de passe par défaut 123456.
A en juger par l'interface des deux applications, ils utilisent le même code de base.
L&M a déclaré que ProTrack cette semaine avait contacté les clients via l'application et par courrier, leur demandant de changer les mots de passe, mais jusqu'à présent, ne l'a pas forcé. ProTrack nie les fuites de données, mais confirme qu'il a proposé aux utilisateurs de modifier les mots de passe.
"Notre système fonctionne très bien, et changer un mot de passe est le moyen normal de maintenir la sécurité du compte", a déclaré un porte-parole de l'entreprise. "D'ailleurs, pourquoi contactez-vous nos clients et les dérangez-vous?" Pourquoi le pirate vous a-t-il contacté? "
ITrack n'a pas répondu à une demande de commentaire.
L&M a déclaré avoir contacté des entreprises qui comptaient sur une rémunération. Dans la capture d'écran où la réponse de ProTrack était visible, le représentant de l'entreprise a demandé au pirate informatique de leur attribuer un «prix bas».
"Si nous payons, allez-vous nous donner votre outil et ne piraterons plus notre compte?" Comment en être sûr? Désolé, il y a tellement de questions, mais c'est la première fois que nous rencontrons ce cauchemar.
Le pirate a refusé de commenter davantage la société. Mais il a dit avoir reçu ce qu'il voulait. «Mon attaque les a prévenus et je considère cela comme un succès. Faites-les s'inquiéter de la sécurité », a déclaré L&M. «Maintenant, ils savent que leurs utilisateurs sont à risque et se concentrent sur une légère amélioration de la sécurité de leur service.»