Уязвимость сервисов Subaru позволяла хакерам разблокировать автомобили и отслеживать историю передвижений водителей

В конце прошлого года исследователи обнаружили серьезную уязвимость безопасности внутреннего веб-сервиса Subaru и автомобильной системы Subaru Starlink. Она открыла полный доступ к личным данным клиентов компании, включая историю местоположений, контакты для экстренных случаев, историю вызовов и многое другое.
Что известно
Исследователи по кибербезопасности Сэм Карри (Sam Curry) и Шубхам Шах (Shubham Shah) обнаружили уязвимость в ноябре 2024 года, исследуя Subaru Impreza 2023 года матери Карри, который он купил годом ранее. В комментарии Wired Карри рассказал, что получил доступ как минимум к годовой истории точных местоположений автомобиля и другой конфиденциальной информации.
Исследователи смогли авторизоваться на веб-сайте Subaru под взломанной учетной записью сотрудника компании. Это дало им возможность взять под контроль функции Starlink автомобилей и получить доступ к огромному количеству персональных данных, включая имя клиента, экстренные контакты, историю вызовов, домашний адрес и даже PIN-код автомобиля. Они также могли удаленно разблокировать автомобиль и запустить его. Все, что им было нужно, это фамилия жертвы вместе с номерным знаком автомобиля, почтовый индекс владельца, номер телефона или адрес электронной почты.
К чести Subaru, эта уязвимость больше не существует. Более того, автопроизводитель устранил лазейку для злоумышленников менее чем за 24 часа после того, как получил уведомление о ней. Однако по мнению Сэма Карри проблема заключается не только в том, что посторонние лица могут получить доступ к автомобилям, но и в том, что практически любые сотрудники компании-производителя транспортного средства имеют полный доступ к конфиденциальной информации пользователей. Вероятно, это касается не только Subaru, но и автомобильной отрасли в целом.
Источник: Wired