Новости Trackimo: геолокация GPS-трекеров открыта для всех

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Слабый пароль открыл доступ к конфиденциальным данным.


fn7kip2x00uq08omrzyuk4mncez1becq.jpg


Хакер взломал внутренний инструмент компании Для просмотра ссылки Войди или Зарегистрируйся и получил доступ к истории перемещений пользователей. Trackimo продает GPS -трекеры, которые используются для отслеживания членов семьи, домашних животных, автомобилей и ценного имущества.

Хакер «maia arson crimew» Для просмотра ссылки Войди или Зарегистрируйся что ему удалось проникнуть во внутреннюю систему поддержки Trackimo после того, как он нашел электронное письмо с паролем к инструменту диагностики Trackimo Troubleshooter. С помощью инструмента хакер смог отслеживать не только свое устройство, но и устройства других пользователей. По словам maia, система оказалась уязвимой из-за простого пароля, который было легко угадать.

Инструмент Trackimo Troubleshooter позволяет отображать недавние местоположения устройства в интерфейсе, похожем на Google Maps . Данные основаны на сигналах GSM, WiFi и GPS, получаемых с устройства. Кроме того, панель инструмента показывает информацию о владельце устройства, включая его электронную почту, имя и номер телефона. Также предоставляются диагностические данные, такие как количество непреднамеренных перезагрузок устройства и случаи работы при низком заряде батареи.


pt737nkxm9rrui8w2kdgunnhl6shzq8t.png


Интерфейс Trackimo Troubleshooter, отображающий информацию о трекере

В своем отчете о взломе maia подробно описал, как он получил доступ к системам Trackimo. Хакер купил устройство Trackimo за $10, оплатил подписку и начал изучать веб-интерфейс компании. В процессе обнаружились закодированные имена пользователей и пароли, встроенные в мобильное приложение Trackimo.


4d77exgrhp5bz5kr38whvunfefdltz06.png


Комплект GPS-трекера: магнит для крепления на транспортные средства, ящики и т. д., зажим для крепления к ремню или одежде, силиконовый чехол для защиты от падений и брызг, а также просто шнур.

Анализируя электронные письма службы поддержки Trackimo, maia нашел еще один пароль, который позволил войти в Trackimo Troubleshooter. Инструмент открыл доступ практически ко всем данным любого устройства, просто по его идентификатору.

Компания Trackimo заявила, что хакер больше не имеет доступа к их системам, пароли были изменены, а инструмент Trackimo Troubleshooter отключен. Однако maia утверждает, что с помощью инструмента ему удалось получить данные о нескольких устройствах, кроме того, которое он купил. Эти устройства могли быть связаны с полицейскими расследованиями, в которых использовались устройства или данные Trackimo. Однако Trackimo утверждает, что хакер не получил доступ к данным других устройств.

Maia подчеркнул, что сообщил Trackimo обо всех выявленных уязвимостях, и компания устранила проблемы.
 
Источник новости
www.securitylab.ru

Похожие темы