Хакер под ником L&M взломал более 27 тысяч аккаунтов пользователей Android-версий двух навигационных приложений. По его словам, это позволило бы ему создать огромные пробки на дорогах во всём мире, пишет Motherboard.
L&M взломал более 7 тысяч пользовательских аккаунтов приложения iTrack и более 20 тысяч — приложения ProTrack. Они позволяют компаниям мониторить и контролировать парк своих автомобилей с помощью GPS-трекеров. Через них хакер мог отслеживать транспортные средства в ряде стран, включая ЮАР, Марокко, Индию и Филиппины. В отдельных случаях он мог через приложение удалённо выключать двигатели автомобилей во время остановки или замедлять до 19 км/ч и ниже.
Хакер обнаружил, что при регистрации в приложениях пользователям даётся пароль по умолчанию «123456». После этого он подобрал миллионы пользовательских имён и написал скрипт для авторизации с использованием этих логинов и стандартного пароля. В результате он смог взломать более 27 тысяч учётных записей и получить доступ к данным в них, например к названиям, моделям и идентификаторам IMEI используемых GPS-трекеров, логинам и настоящим именам пользователей, телефонным номерам, а также физическим и email-адресам (хотя по некоторым пользователям удалось получить не все данные).
Корреспонденты Motherboard связались с 4 пользователями, информацию по которым предоставил хакер, и подтвердили подлинность извлечённых данных. Хакер заявил, что имел полное управление над сотнями тысяч машин и в одно касание мог остановить их двигатели — но не стал: его целью были не клиенты приложений, а их разработчики, которые стремятся заработать и не заботятся о безопасности пользователей.