“Puedo crear un gran problema de tráfico en todo el mundo”, dijo el hacker.
Un hacker irrumpió en miles de cuentas pertenecientes a usuarios de dos aplicaciones de rastreo de GPS, lo que le dio la capacidad de monitorear la ubicación de decenas de miles de vehículos e incluso apagar los motores de algunos de ellos mientras estaban en movimiento, ha aprendido Motherboard.
El hacker, que lleva el nombre de L&M, dijo a Motherboard que pirateó más de 7.000 cuentas iTrack y más de 20.000 cuentas ProTrack, dos aplicaciones que las empresas utilizan para supervisar y gestionar flotas de vehículos a través de dispositivos de seguimiento GPS. El hacker pudo rastrear vehículos en un puñado de países alrededor del mundo, incluyendo Sudáfrica, Marruecos, India y Filipinas. En algunos automóviles, el software tiene la capacidad de apagar remotamente los motores de los vehículos que están parados o que viajan a 12 millas por hora o más despacio, según el fabricante de ciertos dispositivos de rastreo GPS.
Mediante la ingeniería inversa de ProTrack y las aplicaciones Android de iTrack, L&M dijo que se dio cuenta de que todos los clientes reciben una contraseña predeterminada de 123456 cuando se registran.
En ese momento, el hacker dijo que forzó a “millones de nombres de usuario” a través de la API de las aplicaciones. Luego, dijo que escribió un script para intentar iniciar sesión usando esos nombres de usuario y la contraseña predeterminada.
Esto le permitió entrar automáticamente en miles de cuentas que usaban la contraseña predeterminada y extraer datos de ellas.
Según una muestra de datos de usuario que L&M compartió con Motherboard, el hacker ha raspado un tesoro de información de los clientes de ProTrack e iTrack, incluyendo: nombre y modelo de los dispositivos de rastreo GPS que utilizan, los números de identificación únicos de los dispositivos (técnicamente conocidos como un número IMEI); nombres de usuario, nombres reales, números de teléfono, direcciones de correo electrónico y direcciones físicas. (Según L&M, no pudo obtener toda esta información para todos los usuarios; para algunos usuarios sólo pudo obtener parte de la información anterior).
Motherboard pudo confirmar la violación de datos hablando con cuatro usuarios incluidos en la muestra que L&M compartió con Motherboard, quienes confirmaron que los datos proporcionados por el hacker eran legítimos.
“Mi objetivo era la compañía, no los clientes. Los clientes están en riesgo debido a la compañía”, dijo L&M a Motherboard en un chat en línea. “Necesitan ganar dinero, y no quieren asegurar a sus clientes.”
L&M también afirmó ser capaz de hacer mucho más que monitorear los vehículos de sus clientes.
“Puedo crear un gran problema de tráfico en todo el mundo”, dijo L&M. “Tengo el control total de cientos de miles de vehículos, y con un solo toque, puedo detener los motores de estos vehículos.”
Anuncio
Sin embargo, el hacker dijo que nunca mató el motor de ningún coche, ya que eso sería demasiado peligroso. Aunque el hacker no probó que fuera capaz de apagar el motor de un coche, un representante de Concox, los fabricantes de uno de los dispositivos de rastreo GPS de hardware utilizados por algunos de los usuarios de ProTrack GPS e iTrack, confirmó a Motherboard que los clientes pueden apagar los motores remotamente si los vehículos van a menos de 20 kilómetros por hora (alrededor de 12 millas por hora).
Las aplicaciones tienen una característica para “detener el motor”, según una captura de pantalla proporcionada por el hacker.
Rahim Luqmaan, propietario de Probotik Systems, una empresa sudafricana que utiliza ProTrack, dijo en una llamada telefónica con Motherboard que es posible utilizar ProTrack para detener los motores si un técnico habilita esa función al instalar los dispositivos de seguimiento.
“Eso lo hace más peligroso”, dijo Luqmaan sobre la filtración de datos. “En realidad puede meterse con […] nuestros clientes y clientes.”
ProTrack es fabricado por iTryBrand Technology, una compañía con sede en Shenzhen, China. iTrack es fabricado por SEEWORLD, una compañía con sede en Guangzhou, China. Tanto iTryBrand como SEEWORLD venden dispositivos de seguimiento de hardware y plataformas en nube para gestionarlos directamente a los usuarios, y a las empresas que luego distribuyen el hardware y los servicios a los usuarios. L&M afirmó haber irrumpido también en las cuentas de algunos distribuidores, lo que le permite supervisar los vehículos y controlar las cuentas de sus clientes.
Anuncio
En su página de Google Play app, iTrack anuncia una cuenta demo gratuita con el nombre de usuario “Demo” y la contraseña “123456”. ProTrack ofrece a los clientes potenciales una demostración gratuita en su sitio web. Esta semana, cuando Motherboard probó la demo, el sitio mostró un aviso para cambiar la contraseña porque “la contraseña por defecto es demasiado simple”. La semana pasada, cuando Motherboard probó por primera vez la demo, este mensaje no apareció. La API de ProTrack, además, también menciona la contraseña por defecto de “123456” en su documentación.
A juzgar por la interfaz de usuario de ambas aplicaciones, parece que ProTrack e iTrack comparten el mismo código subyacente.
“En realidad puede meterse con […] nuestros clientes y clientes.”
L&M dijo que ProTrack ha contactado a los clientes a través de la aplicación y por correo electrónico para pedirles que cambien su contraseña esta semana, pero aún no está forzando el restablecimiento de la contraseña.
ProTrack negó la violación de datos a través del correo electrónico, pero confirmó que esto incitaba a los usuarios a cambiar sus contraseñas.
“Nuestro sistema está funcionando muy bien y cambiar la contraseña es una forma normal de seguridad de la cuenta, al igual que otros sistemas, cualquier problema…”, dijo un representante de la compañía. “Y lo que es más, por qué contactas con nuestros clientes para esta cosa que les hace recibir este tipo de correo aburrido. ¿Por qué el hacker te contactó?”
iTrack no respondió inmediatamente a una solicitud de comentarios enviada por correo electrónico.
L&M dijo que se puso en contacto con las compañías pidiendo una recompensa. En una captura de pantalla de la respuesta que recibió de ProTrack, un representante de la compañía pidió al hacker que les diera “un precio bajo”.
Anuncio
“Si te pagamos, nos darás la herramienta y no volverás a hackear nuestra cuenta… ¿Cómo podemos asegurarnos de esto?”, decía el correo electrónico. “Lo siento por demasiadas preguntas, es la primera vez que nos encontramos con este desastre.”
El hacker se negó a compartir más sobre sus interacciones con la empresa. Pero dijo que tiene lo que quería.
“Me advirtieron después de mi ataque, y eso fue un éxito para mí. Para forzarlos a que se ocupen de la seguridad”, dijo L&M. “Ahora saben que sus clientes están en riesgo, así que se centraron en cómo asegurar su servicio, un poco.”
Dejar una contestacion
Lo siento, debes estar conectado para publicar un comentario.