"Saya dapat menciptakan masalah lalu lintas yang serius di seluruh dunia," katanya.
Peretas meretas ribuan akun milik pengguna dua aplikasi pelacakan GPS, yang memungkinkannya untuk melacak lokasi puluhan ribu mobil dan bahkan mematikan mesin beberapa dari mereka saat bepergian.
Seorang peretas bernama L&M memberi tahu Motherboard bahwa dia meretas lebih dari 7.000 akun
iTrack dan lebih dari 20.000 akun
ProTrack , aplikasi yang digunakan perusahaan untuk melacak dan mengelola armada mereka menggunakan GPS. Peretas itu dapat melacak mobil di beberapa negara di dunia, termasuk Afrika Selatan, Maroko, India, dan Filipina. Untuk beberapa mobil, perangkat lunak ini memungkinkan Anda untuk mematikan mesin dari jarak jauh, sementara mobil harus berdiri atau bergerak tidak lebih cepat dari 20 km / jam, tergantung pada produsen perangkat GPS tertentu untuk dilacak.
Setelah aplikasi rekayasa terbalik untuk Android ProTrack dan iTrack, L&M, katanya, menyadari bahwa semua klien menerima kata sandi default yang sama saat mendaftar, 123456.
Dan kemudian peretas dapat menemukan "jutaan nama pengguna" menggunakan API aplikasi dengan kekuatan kasar sederhana. Dia kemudian menulis skrip yang mencoba masuk ke akun menggunakan nama pengguna dan kata sandi default yang ditemukan.
Ini memungkinkannya untuk secara otomatis memecahkan ribuan akun yang menggunakan kata sandi default dan mengekstrak data dari mereka.
Menurut sampel data pengguna yang dibagikan L&M dengan Motherboard, peretas memang mengumpulkan banyak informasi tentang klien ProTrack dan iTrack, termasuk: nama dan model suar GPS, ID unik (dikenal sebagai IMEI), nama pengguna, nama asli mereka, nomor telepon , email, dan alamat rumah. L&M mengatakan tidak dapat mengekstrak semua informasi ini untuk setiap pengguna; bagi sebagian orang, informasi hanya diterima sebagian.
Para editor dapat mengkonfirmasi realitas peretasan dengan berbicara dengan empat pengguna dari sampel L&M. Orang yang diwawancarai mengkonfirmasi keakuratan informasi yang diberikan oleh peretas.
โSaya membidik perusahaan, bukan pada pelanggan. Pelanggan berisiko karena tindakan perusahaan, kata editor L&M dalam obrolan. "Mereka perlu mendapatkan uang, dan mereka tidak ingin melindungi pelanggan mereka."
Tangkapan layar menggunakan akun pengguna yang diretasL&M juga mengatakan bahwa itu bisa melakukan lebih dari sekadar melacak mesin pengguna. "Saya dapat menciptakan masalah lalu lintas yang serius di seluruh dunia," katanya. "Saya memiliki kendali penuh atas ratusan ribu mobil, dan dengan satu sentuhan saya dapat menghentikan mesin mereka."
Namun, peretas mengatakan dia tidak pernah mematikan satu mesin, karena itu akan terlalu berbahaya. Dan meskipun peretas tidak membuktikan kemampuannya untuk mematikan mesin, perwakilan dari Concox, produsen
salah satu perangkat yang digunakan oleh beberapa pengguna GPS ProTrack dan iTrack, mengkonfirmasi kepada para editor bahwa pelanggan memang dapat mematikan mesin dari jarak jauh jika mobil itu melaju lebih lambat dari 20 km / jam.
Aplikasi ini memiliki kemampuan untuk "menghentikan mesin", sesuai dengan tangkapan layar yang disediakan oleh peretas.
Rahim Luckman, pemilik Probotik Systems, sebuah perusahaan Afrika Selatan yang menggunakan ProTrack, mengatakan kepada staf editorial bahwa ProTrack dapat digunakan untuk menghentikan mesin jika teknisi mengaktifkan fitur ini ketika memasang suar GPS. "Dan itu membuat situasinya semakin berbahaya," kata Luckman tentang kebocoran data. "Ini benar-benar dapat membuat kebingungan bagi pelanggan dan pengguna kami."
ProTrack didukung oleh Teknologi iTryBrand dari Shenzhen, Cina. iTrack didukung oleh SEEWORLD dari Guangzhou, Cina. Kedua perusahaan menjual perangkat pelacakan dan layanan cloud untuk individu dan distributor perangkat lunak dan perangkat. L&M mengatakan mereka meretas akun beberapa distributor, yang memungkinkannya melacak perangkat dan mengontrol akun pengguna mereka.
Di
halaman aplikasi di Google Play, iTrack mengiklankan akun demo gratis dengan Demo nama pengguna dan kata sandi 123456. ProTrack menyediakan kepada pengguna demo gratis
di situs mereka . Minggu ini, ketika staf editorial memeriksa demo, situs mengeluarkan peringatan tentang perlunya mengubah kata sandi, karena "kata sandi standar terlalu sederhana." Seminggu yang lalu pesan ini belum.
Dokumentasi ProTrack API juga menentukan kata sandi default 123456.
Dilihat oleh antarmuka kedua aplikasi, mereka menggunakan kode dasar yang sama.
L&M mengatakan bahwa ProTrack minggu ini menghubungi pelanggan melalui aplikasi dan melalui surat, meminta mereka untuk mengubah kata sandi, tetapi sejauh ini tidak dipaksa untuk melakukannya. ProTrack menyangkal kebocoran data, tetapi mengonfirmasi bahwa itu menawarkan pengguna untuk mengubah kata sandi.
"Sistem kami bekerja dengan sangat baik, dan mengubah kata sandi adalah cara normal untuk menjaga keamanan akun," kata juru bicara perusahaan. "Selain itu, mengapa Anda menghubungi pelanggan kami dan mengganggu mereka?" Mengapa peretas menghubungi Anda? "
ITrack tidak menanggapi permintaan komentar.
L&M mengatakan telah menghubungi perusahaan yang mengandalkan remunerasi. Pada tangkapan layar di mana jawaban dari ProTrack terlihat, perwakilan perusahaan meminta peretas untuk memberi mereka "harga murah".
"Jika kami membayar, apakah Anda akan memberi kami alat Anda dan tidak akan meretas akun kami lagi?" Bagaimana kita bisa yakin akan hal ini? Maaf ada banyak pertanyaan, tetapi ini adalah pertama kalinya kami mengalami mimpi buruk ini. "
Peretas itu menolak berkomentar lebih lanjut tentang perusahaan tersebut. Tetapi dia mengatakan bahwa dia menerima apa yang diinginkannya. โSerangan saya memperingatkan mereka, dan saya menganggap ini sukses. Buat mereka khawatir tentang keamanan, โkata L&M. "Sekarang mereka tahu bahwa pengguna mereka dalam risiko dan fokus pada sedikit meningkatkan keamanan layanan mereka."