En sårbarhed i Subarus tjenester gjorde det muligt for hackere at låse biler op og spore bilisters rejsehistorik
I slutningen af sidste år opdagede forskere et alvorligt sikkerhedshul i Subarus interne webservice og bilsystem, Subaru Starlink. Det åbnede op for fuld adgang til virksomhedens kunders personlige data, herunder lokaliseringshistorik, nødkontakter, opkaldshistorik og meget mere.
Her er, hvad vi ved
Cybersikkerhedsforskerne Sam Curry og Shubham Shah opdagede sårbarheden i november 2024, da de undersøgte Currys mors Subaru Impreza fra 2023, som han havde købt et år tidligere. Curry fortalte Wired i en kommentar, at han havde fået adgang til mindst et års nøjagtig lokaliseringshistorik og andre følsomme oplysninger om bilen.
Forskerne var i stand til at logge ind på Subarus hjemmeside under en hacket konto tilhørende en medarbejder i virksomheden. Det gjorde dem i stand til at tage kontrol over bilernes Starlink-funktioner og få adgang til en enorm mængde personlige data, herunder kundens navn, nødkontakter, opkaldshistorik, hjemmeadresse og endda bilens pinkode. De kunne også fjernlåse bilen og starte den. Alt, hvad de behøvede, var offerets efternavn sammen med bilens nummerplade, ejerens postnummer, telefonnummer eller e-mailadresse.
Til Subarus ære findes denne sårbarhed ikke længere. Desuden rettede bilproducenten smuthullet for angriberne på mindre end 24 timer efter at være blevet underrettet om det. Ifølge Sam Curry er problemet dog ikke kun, at uvedkommende kan få adgang til biler, men at stort set alle ansatte hos bilproducenten har fuld adgang til brugernes følsomme oplysninger. Det gælder sandsynligvis ikke kun for Subaru, men for hele bilindustrien.
Kilde: Wired Wired
