Cum au acces acești hackeri la informațiile a 7 companii de mașini

Curry a spus că încălcarea back-end a Ferrari este, de asemenea, demnă de remarcat.

„Un lucru care a fost distractiv a fost vulnerabilitatea lui Ferrari”, a spus Curry. „Aveam pe toți cei care cumpăraseră un Ferrari și le-am putut obține numele complet, adresa, numărul de telefon, adresa fizică și informații despre vehiculul lor.

„Am putea doar să preluăm contul Ferrari al oricui și să ne prefacem că suntem ei și să le recuperăm documentele de vânzare”, a adăugat el.

Grupul a spart și backend-ul lui Spireon. Spireon oferă telematică independentă de dispozitiv pentru vehiculele flotei și vehiculele care operează pe platformele sale OnStar și GoldStar.

„Cred că oamenii ar trebui să fie îngrijorați de vulnerabilitățile lui Spireon”, a spus Curry. „Au 15 milioane de vehicule diferite. Spireon are multe flote și vehicule utilizatorilor finali cu GoldStar sau OnStar și tone de alte soluții pentru vehicule.

„Am putea trimite comenzi mașinilor pentru a dezactiva demarorul, pentru a-l debloca de la distanță, pentru a-l porni de la distanță și aveam acces administrativ complet unde puteam face aproape orice ne-am dori cu acele dispozitive”, a spus el.

Curry a spus că vulnerabilitățile Spireon sunt îngrijorătoare, deoarece mulți proprietari de vehicule, chiar dacă nu sunt abonați OnStar, au serviciul pe mașinile lor.

„Spireon este atât de adânc înrădăcinat în ecosistemul auto – au atât de multe caracteristici diferite încât le oferă atât de mulți clienți diferiți, milioane de utilizatori și milioane de vehicule”, a spus Curry. „Dacă am vrea să ne invităm la Poliția de Stat din Cincinnati, am putea dezactiva de la distanță mașinile de echipă și demaroarele ambulanțelor și chestii de genul ăsta cu această încălcare”.

Spireon a declarat că profesioniștii săi în securitatea informațiilor au evaluat „presupusele vulnerabilități ale sistemului și au implementat imediat măsuri corective în măsura în care este necesar. De asemenea, am luat măsuri proactive pentru a consolida și mai mult securitatea în portofoliul nostru de produse, ca parte a angajamentului nostru continuu față de clienții noștri, ca furnizor principal de piață de schimb. soluții telematice”.

Curry a piratat și Reviver, o companie care vinde plăcuțe digitale consumatorilor și flotelor. El a reușit să obțină „acces super administrativ” complet pentru a gestiona toate conturile de utilizator și vehiculele Reviver.

Funcțiile pe care le putea îndeplini de la distanță includ urmărirea locației fizice GPS a tuturor clienților Reviver. Ar putea actualiza orice stare de vehicul la „furat”, ceea ce actualizează plăcuța de înmatriculare și informează forțele de ordine și accesează toate înregistrările utilizatorilor. Hackerii ar putea determina ce vehicule dețin oamenii, adresa lor fizică, numărul de telefon și adresele de e-mail.

Un purtător de cuvânt al Reviver a spus că directorii companiei s-au întâlnit cu Curry și profesioniști în securitatea datelor și confidențialitate pentru a corecta vulnerabilitățile companiei.

„Investigația noastră a confirmat că această potențială vulnerabilitate nu a fost utilizată greșit. Informațiile clienților nu au fost afectate și nu există dovezi ale unui risc în curs de desfășurare legat de acest raport”, a spus Reviver. „Ca parte a angajamentului nostru față de securitatea și confidențialitatea datelor, am folosit, de asemenea, această oportunitate pentru a identifica și implementa măsuri de protecție suplimentare pentru a completa protecțiile noastre existente și semnificative.”