У кінці 2024 року дослідники з кібербезпеки виявили серйозну уразливість у внутрішній вебслужбі Subaru, а також у системі Starlink, що використовується в автомобілях марки. Ця проблема дозволила злочинцям отримати повний доступ до особистих даних власників автомобілів, зокрема, до історії їхніх поїздок, екстрених контактів, історії дзвінків та іншої конфіденційної інформації.
Найважливіші факти про інцидент
У листопаді 2024 року експерти в галузі кібербезпеки Сем Керрі та Шубхем Шах виявили цю вразливість, проводячи дослідження системи автомобіля Subaru Impreza 2023 року, яку один із них придбав у попередньому році. За їхніми словами, в результаті вони змогли отримати доступ до щонайменше року точних даних про місцезнаходження автомобіля та іншої конфіденційної інформації.
Зловмисники проникли на офіційний вебсайт Subaru, використовуючи компрометований обліковий запис одного з працівників компанії. Це дало їм змогу не тільки контролювати функціональність Starlink, але й отримати доступ до величезної кількості персональних даних. Серед них були такі відомості, як ім’я власника, екстрені контакти, історія дзвінків, домашня адреса, а також PIN-код автомобіля. Зловмисники навіть могли віддалено розблокувати та завести транспортний засіб. Для цього їм було достатньо мати прізвище жертви разом з номером її автомобільного номера, поштовим індексом або контактними даними, такими як номер телефону або електронна адреса.
На момент публікації, Subaru вже виправила цю вразливість, усунувши її за менше ніж 24 години після повідомлення про проблему. Однак, за словами Сема Керрі, головна проблема полягає не лише в тому, що сторонні особи могли отримати доступ до конфіденційних даних, але й в тому, що фактично будь-який співробітник компанії міг мати повний доступ до особистої інформації користувачів. Це свідчить про значні ризики в галузі, які можуть зачіпати не лише Subaru, а й інші компанії, що працюють у автомобільній індустрії.
Джерело: Wired