Auta Subaru hurtowo przejmowane przez hakerów. Halo, producenci samochodów - obudźcie się
Nie trzeba było przesadnie się wysilać by poznać historię lokalizacji samochodu czy nawet częściowo zdalnie z tym sterować. Branża motoryzacyjna nadal nie rozumie, że w XXI wieku musi też być branżą IT.
Specjaliści ds. cyberbezpieczeństwa Sam Surry i Shubham Shah poinformowali o poważnym problemie związanym z cyberbezpieczeństwem i pojazdami marki Subaru. Ten został już przy współpracy z Subaru usunięty - dlatego uczeni mówią o nim publicznie - ale niezmiennie pozostaje wysoce kompromitujący dla tego producenta. Właściwie jedyne, co ten ma na swoją dość marną obronę, to że nie jest pierwszą motoryzacyjną firmą z tak poważną wpadką.
Problemem okazała się aplikacja webowa dla pracowników Subaru. Był na tyle źle zabezpieczony, że badacze nie tylko z powodzeniem przełamali jego zabezpieczenia, ale byli też w stanie uzyskać dostęp do danych nawet wykraczających poza uprawnienia tych pracowników. Możliwe było, między innymi, zdalne uruchamianie samochodu i jego mechanizmów (jeżeli dany model pojazdu ma taką funkcję) czy sprawdzenie całej, nawet wieloletniej historii lokalizacji pojazdu. Z bardzo wysoką dokładnością.
To też jest ważne:
Luka bezpieczeństwa w Subaru jest już załatana. Nie jest jednak jasne kto jeszcze o niej wiedział i czy była wykorzystywana przez przestępców
Eksperci twierdzą, że większość dowodów wskazuje na to, że nikt przed nimi nie odkrył problemu - a co za tym idzie, posiadacze relatywnie nowych pojazdów Subaru prawdopodobnie nie byli w żaden sposób poszkodowani. Badacze zauważają jednak, że załatano tylko oprogramowanie które pozwoliło im się włamać do aplikacji dla pracowników Subaru. Ci jednak nadal mogą wewnątrz systemu wyciągać wysoce prywatne dane użytkowników samochodów, w tym dokładną historię lokalizacji pojazdu. Mogą też zdalnie uruchamiać silniki, otwierać zamki w drzwiach. Użytkownik nie jest przy tym w żaden sposób powiadamiany o tym, że jego samochód uzyskał połączenie z czymś innym.
Wystarczy tylko znajomość jednej z danych: nazwisko posiadacza auta lub kod pocztowy jego miejsca zamieszkania lub adres mailowy lub numer telefoniczny lub numer rejestracji. Jak relacjonują badacze, do włamania się do portalu Starlink (zbieżność nazw z usługą satelitarną SpaceX jest przypadkowa) wystarczyła znajomość adresu mailowego pracownika, który z kolei pozyskali z LinkedIna.
- Po przeszukaniu portalu i znalezieniu własnego pojazdu w dashboardzie aplikacji potwierdziłem, że panel administracyjny Starlink powinien mieć dostęp do praktycznie każdego Subaru w Stanach Zjednoczonych, Kanadzie i Japonii. Chcieliśmy potwierdzić, że niczego nam nie brakuje, więc skontaktowaliśmy się z przyjaciółką i zapytaliśmy, czy możemy zhakować jej samochód, aby pokazać, że nie ma żadnych wymagań wstępnych ani funkcji, które faktycznie zapobiegłyby całkowitemu przejęciu pojazdu. Wysłała nam swój numer rejestracyjny, wybraliśmy jej pojazd w panelu administracyjnym, a następnie dodaliśmy siebie bez problemu do jej samochodu - jak czytamy w opublikowanej pracy.
Starlink pozwala również wyszukiwać i pobierać dane osobowe każdego klienta, w tym kontakty alarmowe, autoryzowanych użytkowników, adres domowy, ostatnie cztery cyfry karty kredytowej i kod PIN pojazdu. Ponadto możliwy jest dostęp do historii połączeń, odczytu licznika kilometrów i historii sprzedaży.
- Subaru of America, Inc. zostało powiadomione przez niezależnych badaczy bezpieczeństwa o luce w zabezpieczeniach usługi Starlink, która potencjalnie umożliwiała osobom trzecim dostęp do kont Starlink. Subaru załatało lukę tego samego dnia, a żadne pojazdy Subaru ani dane klientów nie zostały nigdy udostępnione bez autoryzacji. Niezależni badacze byli w stanie uzyskać dostęp do dwóch kont należących do członka rodziny i znajomego, który udzielił im autoryzacji - jak deklaruje Subaru, dodając przy tym, że jego pojazdami nie da się zdalnie sterować, a sama firma nie sprzedaje danych użytkowników podmiotom trzecim.
Subaru nie jest pierwsze. Niestety nawet nie drugie i nie trzecie. Branża moto nadal nie rozumie, że teraz każda większa firma to również firma informatyczna
Podobnego rodzaju wpadki zaliczyła już znaczna część motoryzacyjnych gigantów, w tym Honda, Toyota, Kia czy Hyundai. Eksperci ds. cyberbezpieczeństwa wydają się być zgodni w ogólnej diagnozie - znaczna część wielkich firm funkcjonuje, jakby nadal trwał XX wiek i jakby to, w czym te firmy są dobre i na czym zarabiają duże pieniądze zamykało temat. Są dobre w technologii silników czy napędów, a nie rozwiązań informatycznych, o których w tych firmach niejednokrotnie myśli się jak o rozpraszającym dodatku do sedna ich działalności. Specjaliści zgodnie diagnozują to jako istotny błąd.
Teza, że dziś każda firma to firma IT wydaje się coraz bardziej trafna w kontekście współczesnego świata biznesu. W dobie cyfryzacji i globalizacji technologie informacyjne stały się nieodłącznym elementem funkcjonowania przedsiębiorstw niezależnie od branży. Nie jest już wystarczające, by firma skupiała się wyłącznie na swoim głównym profilu działalności; musi również inwestować w rozwiązania IT, aby sprostać rosnącym oczekiwaniom rynku i klientów.
Przykłady z ostatnich lat pokazują, jak istotne jest integrowanie technologii w strategii biznesowej. Banki, które kiedyś opierały się głównie na tradycyjnych usługach finansowych, teraz inwestują w aplikacje mobilne, bankowość internetową i zaawansowane systemy bezpieczeństwa. Sieci sklepów spożywczych wprowadzają e-commerce, programy lojalnościowe oparte na analizie danych i automatyzację procesów logistycznych. Nawet huty stali wdrażają nowoczesne systemy zarządzania produkcją i monitoringu, aby zwiększyć efektywność i konkurencyjność.
Szczególnie istotne są kwestie cyberbezpieczeństwa. Wraz z rosnącą liczbą pojazdów wyposażonych w zaawansowane systemy informatyczne i połączonych z Internetem, potencjalne ryzyko cyberataków staje się realnym zagrożeniem. Brak inwestycji w odpowiednie zabezpieczenia może prowadzić nie tylko do strat finansowych, ale także do utraty zaufania klientów i reputacji marki.
W związku z tym inwestowanie w rozwój technologii IT nie jest już opcją, ale koniecznością dla przedsiębiorstw pragnących utrzymać się na konkurencyjnym rynku. Firmy muszą być świadome, że technologia nie jest tylko narzędziem wspierającym działalność, ale integralnym elementem strategii biznesowej. Adaptacja do szybko zmieniającego się środowiska technologicznego może decydować o sukcesie lub porażce w długoterminowej perspektywie.
Warto również zwrócić uwagę na rosnącą rolę sztucznej inteligencji, analizy danych i internetu rzeczy (IoT) w różnych sektorach gospodarki. Firmy, które potrafią efektywnie wykorzystać te technologie, mają szansę na zyskanie przewagi konkurencyjnej. Edukacja pracowników w zakresie nowych technologii i ciągłe doskonalenie infrastruktury IT staje się kluczem do innowacji i zrównoważonego rozwoju przedsiębiorstwa. Subaru właśnie się tego nauczyło w dość bolesny sposób.
