La sicurezza dei dati può raggiungere qualsiasi livello ma il punto debole rimaniamo sempre noi. Con questa frase possiamo sintetizzare quanto successo (e riportato da Motherboard) con un White Hat (hacker buono) che si fa chiamare L&M e che è stato in grado di violare oltre 7.000 account iTrack e oltre 25.000 account ProTrack.

Hackerati oltre 30.000 veicoli sfruttando solo GPS e una connessione dati 1

Per chi non lo sapesse, si tratta di servizi usati dalle aziende per monitorare in tempo reale la posizione e lo stato dei loro veicoli. Utilizzando le informazioni GPS e una connessione dati, è possibile accedere a un pannello web che mostra le indicazioni sulla posizione esatta di ogni mezzo. Peccato solo che tutti gli utenti hackerati non hanno provveduto a cambiare la password di default “123456”, rendendo praticamente un gioco da ragazzi smascherarla a primo colpo.

Il trucco utilizzato dallo White Hat è stato il reverse engineering di iTrack e ProTrack per poi sferrare un attacco brute forcing per cercare di risalire ai nomi degli account utente.

Oltre a monitorare la posizione di tutti questi veicoli in tempo reale, in alcuni casi l’attacco hacker ha permesso (non avendolo però mai attivato) di accedere a un controllo a distanza per permettere di spegnere il motore del veicolo quando fermo oppure a velocità inferiori ai 20 chilometri orari.

GPS e connessioni dati sono OK ma non l’incuria degli utenti per i propri dati

Hackerati oltre 30.000 veicoli sfruttando solo GPS e una connessione dati 2

L’utilizzo di un sistema di navigazione GPS ha rivoluzionato il modo in cui andiamo in giro con le auto. Sapere sempre dove ci si trova e, grazie a una mappa, dove dover andare è una comodità davvero eccezionale. Ma per via della natura del segnale GPS proveniente dai satelliti, è a senso unico (è possibile riceverlo ma non trasmetterlo). Nei moderni smartphone o comunque nei sistemi professionali questo limite viene superato grazie al modem di rete.

E allora ecco che la principale operazione per mettere al sicuro i dati, specialmente se sensibili come quelli protagonisti di questa vicenda, è cambiare la password di default con una quanto più complessa possibile e, magari, continuare a cambiarla con frequenza regolare.