"Eu posso criar sérios problemas de tráfego em todo o mundo", disse ele.
O hacker invadiu milhares de contas pertencentes a usuários de dois aplicativos de rastreamento GPS, o que lhe permitiu rastrear a localização de dezenas de milhares de carros e até desligar os motores de algumas delas em movimento.
Um hacker chamado L&M disse ao Motherboard que invadiu mais de 7.000 contas
iTrack e mais de 20.000 contas
ProTrack , aplicativos que as empresas usam para rastrear e gerenciar suas frotas usando GPS. O hacker conseguiu rastrear carros em vários países do mundo, incluindo África do Sul, Marrocos, Índia e Filipinas. Para alguns carros, o software permite desligar remotamente os motores, enquanto o carro deve permanecer em pé ou se mover a uma velocidade máxima de 20 km / h, dependendo do fabricante de determinados dispositivos GPS para rastreamento.
Após aplicativos de engenharia reversa para Android ProTrack e iTrack, a L&M, disse ele, percebeu que todos os clientes recebem as mesmas senhas padrão ao se registrar, 123456.
E então o hacker conseguiu encontrar “milhões de nomes de usuário” usando as APIs do aplicativo por força bruta simples. Ele então escreveu um script que tenta fazer login nas contas usando os nomes de usuário encontrados e as senhas padrão.
Isso lhe permitiu quebrar automaticamente as milhares de contas que usavam a senha padrão e extrair dados delas.
De acordo com uma amostra de dados do usuário que a L&M compartilhou com a placa-mãe, o hacker coletou diversas informações sobre os clientes ProTrack e iTrack, incluindo: nome e modelo do GPS beacon, IDs exclusivos (conhecidos como IMEIs), nomes de usuário, nomes reais, números de telefone , e-mails e endereços residenciais. A L&M disse que não poderia extrair todas essas informações para cada usuário; para alguns, as informações foram recebidas apenas parcialmente.
Os editores puderam confirmar a realidade do hack conversando com quatro usuários da amostra da L&M. Os entrevistados confirmaram a precisão das informações fornecidas pelo hacker.
“Eu apontei para a empresa, não para os clientes. Os clientes estão em risco devido às ações da empresa, disseram os editores da L&M em um bate-papo. "Eles precisam ganhar dinheiro e não querem proteger seus clientes."
Captura de tela usando uma conta de usuário invadidaA L&M também disse que pode fazer muito mais do que apenas rastrear as máquinas dos usuários. "Eu posso criar sérios problemas de tráfego em todo o mundo", disse ele. "Eu tenho controle total sobre centenas de milhares de carros e, com um toque, posso parar os motores".
No entanto, o hacker disse que nunca desligou um único mecanismo, pois isso seria muito perigoso. E, embora o hacker não tenha demonstrado sua capacidade de desligar o motor, um representante da Concox, fabricante de
um dos dispositivos usados por alguns usuários de ProTrack GPS e iTrack, confirmou aos editores que os clientes poderiam desligar os motores remotamente se o carro estivesse viajando a menos de 20 km / h.
O aplicativo tem a capacidade de "parar o mecanismo", de acordo com a captura de tela fornecida pelo hacker.
Rahim Luckman, proprietário da Probotik Systems, uma empresa sul-africana que usa o ProTrack, disse à equipe editorial que o ProTrack pode ser usado para parar os motores se um técnico ativar esse recurso ao instalar um sinal de GPS. "E isso torna a situação ainda mais perigosa", disse Luckman sobre o vazamento de dados. "Isso realmente pode criar confusão para nossos clientes e usuários."
O ProTrack é suportado pela tecnologia iTryBrand de Shenzhen, China. O iTrack é suportado pela SEEWORLD de Guangzhou, China. Ambas as empresas vendem dispositivos de rastreamento e serviços em nuvem para indivíduos e distribuidores de software e dispositivos. A L&M disse que invadiu as contas de alguns distribuidores, o que permitiu rastrear dispositivos e controlar as contas de seus usuários.
Na
página do aplicativo no Google Play, o iTrack anuncia uma conta demo gratuita com o nome de usuário Demo e a senha 123456. O ProTrack fornece aos usuários uma demonstração gratuita
em seu site . Nesta semana, quando a equipe editorial verificou a demonstração, o site emitiu um aviso sobre a necessidade de alterar a senha, porque "a senha padrão é muito simples". Há uma semana, essa mensagem ainda não era. A
documentação da API ProTrack também especifica uma senha padrão 123456.
A julgar pela interface dos dois aplicativos, eles usam o mesmo código básico.
A L&M disse que o ProTrack nesta semana entrou em contato com os clientes por meio do aplicativo e por e-mail, pedindo que eles mudassem as senhas, mas até agora não foi forçado a fazê-lo. O ProTrack nega o vazamento de dados, mas confirma que ofereceu aos usuários a alteração de senhas.
"Nosso sistema funciona muito bem, e alterar uma senha é a maneira normal de manter a segurança da conta", disse um porta-voz da empresa. "Além disso, por que você está entrando em contato com nossos clientes e incomodando-os?" Por que o hacker entrou em contato com você?
O ITrack não respondeu a uma solicitação de comentário.
A L&M disse que entrou em contato com empresas que dependem de remuneração. Na captura de tela em que a resposta do ProTrack estava visível, o representante da empresa pediu ao hacker que lhes atribuísse um "preço baixo".
"Se pagarmos, você nos fornecerá sua ferramenta e não invadirá mais nossa conta?" Como podemos ter certeza disso? Desculpe, existem muitas perguntas, mas é a primeira vez que encontramos esse pesadelo. ”
O hacker se recusou a comentar mais sobre a empresa. Mas ele disse que recebeu o que queria. “Meu ataque os alertou, e considero isso um sucesso. Faça com que se preocupem com a segurança ”, disse L&M. "Agora eles sabem que seus usuários estão em risco e estão se concentrando em melhorar um pouco a segurança de seus serviços".