Слабый пароль открыл доступ к конфиденциальным данным.
Хакер взломал внутренний инструмент компании Trackimo и получил доступ к истории перемещений пользователей. Trackimo продает GPS-трекеры, которые используются для отслеживания членов семьи, домашних животных, автомобилей и ценного имущества.
Хакер «maia arson crimew» рассказал, что ему удалось проникнуть во внутреннюю систему поддержки Trackimo после того, как он нашел электронное письмо с паролем к инструменту диагностики Trackimo Troubleshooter. С помощью инструмента хакер смог отслеживать не только свое устройство, но и устройства других пользователей. По словам maia, система оказалась уязвимой из-за простого пароля, который было легко угадать.
Инструмент Trackimo Troubleshooter позволяет отображать недавние местоположения устройства в интерфейсе, похожем на Google Maps. Данные основаны на сигналах GSM, WiFi и GPS, получаемых с устройства. Кроме того, панель инструмента показывает информацию о владельце устройства, включая его электронную почту, имя и номер телефона. Также предоставляются диагностические данные, такие как количество непреднамеренных перезагрузок устройства и случаи работы при низком заряде батареи.
Интерфейс Trackimo Troubleshooter, отображающий информацию о трекере
В своем отчете о взломе maia подробно описал, как он получил доступ к системам Trackimo. Хакер купил устройство Trackimo за $10, оплатил подписку и начал изучать веб-интерфейс компании. В процессе обнаружились закодированные имена пользователей и пароли, встроенные в мобильное приложение Trackimo.
Комплект GPS-трекера: магнит для крепления на транспортные средства, ящики и т. д., зажим для крепления к ремню или одежде, силиконовый чехол для защиты от падений и брызг, а также просто шнур.
Анализируя электронные письма службы поддержки Trackimo, maia нашел еще один пароль, который позволил войти в Trackimo Troubleshooter. Инструмент открыл доступ практически ко всем данным любого устройства, просто по его идентификатору.
Компания Trackimo заявила, что хакер больше не имеет доступа к их системам, пароли были изменены, а инструмент Trackimo Troubleshooter отключен. Однако maia утверждает, что с помощью инструмента ему удалось получить данные о нескольких устройствах, кроме того, которое он купил. Эти устройства могли быть связаны с полицейскими расследованиями, в которых использовались устройства или данные Trackimo. Однако Trackimo утверждает, что хакер не получил доступ к данным других устройств.
Maia подчеркнул, что сообщил Trackimo обо всех выявленных уязвимостях, и компания устранила проблемы.
Лечим цифровую неграмотность без побочных эффектов