Silpnas slaptažodis suteikė prieigą prie neskelbtinų duomenų.

Įsilaužėlis įsilaužė į „Trackimo“ vidinį įrankį ir gavo prieigą prie naudotojų judėjimo istorijos. „Trackimo“ parduoda GPS sekimo įrenginius, kurie naudojami šeimos nariams, naminiams gyvūnams, automobiliams ir vertingam turtui sekti.

Įsilaužėlis „maia arson crimew“ sakė, kad jam pavyko įsiskverbti į „Trackimo“ vidinę palaikymo sistemą radus el. laišką su „Trackimo Troubleshooter“ įrankio slaptažodžiu. Naudodamasis šiuo įrankiu įsilaužėlis galėjo sekti ne tik savo, bet ir kitų naudotojų įrenginius. Pasak maia, sistema buvo pažeidžiama dėl paprasto slaptažodžio, kurį buvo lengva atspėti.

Įrankis „Trackimo Troubleshooter“ leidžia rodyti naujausias įrenginio buvimo vietas sąsajoje, panašioje į „Google Maps“. Duomenys pateikiami pagal iš prietaiso gaunamus GSM, „WiFi“ ir GPS signalus. Be to, įrankių juostoje rodoma informacija apie prietaiso savininką, įskaitant jo el. pašto adresą, vardą, pavardę ir telefono numerį. Taip pat pateikiami diagnostiniai duomenys, pavyzdžiui, prietaiso netyčinių perkrovimų skaičius ir išsikrovusio akumuliatoriaus veikimo atvejai.

trackimo interfeisas Trackimo: GPS sekimo geolokacija yra atvira visiems
„Trackimo Troubleshooter“ sąsaja, kurioje rodoma sekimo įrenginio informacija

Savo įsilaužimo ataskaitoje maia išsamiai aprašė, kaip jis gavo prieigą prie „Trackimo“ sistemų. Įsilaužėlis nusipirko „Trackimo“ įrenginį už 10 JAV dolerių, sumokėjo už prenumeratą ir pradėjo tyrinėti bendrovės interneto sąsają. Šio proceso metu paaiškėjo, kad „Trackimo“ mobiliojoje programėlėje yra užkoduoti vartotojo vardai ir slaptažodžiai.

trackimo komplektas Trackimo: GPS sekimo geolokacija yra atvira visiems
GPS sekiklio rinkinys: magnetas, skirtas tvirtinti prie transporto priemonių, dėžių ir t. t., spaustukas, skirtas tvirtinti prie diržo ar drabužių, silikoninis dangtelis, apsaugantis nuo kritimo ir purslų, ir laidas.

Analizuodamas „Trackimo“ palaikymo el. laiškus, maia rado dar vieną slaptažodį, kuriuo buvo galima prisijungti prie „Trackimo“ trikčių šalinimo programos. Šis įrankis suteikė prieigą prie beveik visų bet kurio įrenginio duomenų, tiesiog pagal jo ID.

Bendrovė „Trackimo“ pareiškė, kad įsilaužėlis nebeturi prieigos prie jų sistemų, slaptažodžiai pakeisti, o įrankis „Trackimo Troubleshooter“ išjungtas. Tačiau maia tvirtina, kad jis galėjo naudoti įrankį, kad gautų duomenis keliuose kituose įrenginiuose, ne tik įsigytame. Šie įrenginiai galėjo būti susiję su policijos tyrimais, kuriuose buvo naudojami „Trackimo“ įrenginiai arba duomenys. Tačiau „Trackimo“ tvirtina, kad įsilaužėlis neturėjo prieigos prie kitų įrenginių duomenų.

Maia pabrėžė, kad jis informavo Trackimo apie visus nustatytus pažeidžiamumus ir bendrovė ištaisė problemas.