Een hacker kwam erachter dat hij op afstand automotoren kan uitschakelen

Een hacker heeft ingebroken bij duizenden accounts van twee verschillende GPS-tracker-apps, waardoor hij precies kon zien waar deze auto's zich bevonden, en er in sommige gevallen zelfs voor kon zorgen dat de motor stil werd gezet terwijl de auto aan het rijden was.

De hacker, die onder het alias L&M opereert, heeft Motherboard verteld dat hij meer dan 7.000 iTrack-accounts en meer dan 20.000 ProTrack-accounts heeft weten te hacken, twee apps die door bedrijven gebruikt worden om hele wagenparken te volgen en te beheren, met behulp van GPS-trackers. De hacker kon voertuigen volgen in een handjevol landen over de hele wereld, waaronder Zuid-Afrika, Marokko, India en de Filippijnen. Bij sommige auto’s heeft de software ook de mogelijkheid om de motoren van stilstaande auto’s of auto’s die maximaal 20 kilometer per uur rijden uit te schakelen.

Aan de hand reverse-engineering kwam L&M erachter dat alle gebruikers een standaard wachtwoord krijgen wanneer ze voor het eerst inloggen, namelijk ‘123456’. De hacker achterhaalde miljoenen gebruikersnamen via de API van de apps, en schreef een script om daarmee in te loggen en vervolgens data in te zien.

L&M heeft een klein deel van die gebruikersgegevens met Motherboard gedeeld, en daaruit blijkt dat de hacker een schatkist aan informatie van ProTrack en iTrack-klanten heeft verzameld. Namelijk: de naam en het model van de GPS-trackers die ze gebruiken, de unieke ID-nummers (het zogeheten IMEI-nummer), gebruikersnamen, echte namen, telefoonnummers, e-mailadressen en huisadressen. Hij heeft overigens niet al deze informatie van álle gebruikers; van sommigen heeft hij het maar gedeeltelijk.

Motherboard sprak met vier gebruikers van wie L&M de gegevens had gedeeld. Zij bevestigden dat zijn gegevens klopten.

"Mijn doelwit was het bedrijf, niet de klanten. Klanten lopen het risico vanwege het bedrijf," vertelt L&M aan Motherboard in een online chat. "Ze willen geld verdienen en weigeren hun klanten goed te beveiligen.”

L&M beweert ook dat hij veel meer kon doen dan alleen de voertuigen van klanten tracken. “Ik zou absoluut een massaal, wereldwijd verkeersprobleem kunnen veroorzaken. Ik heb honderdduizenden voertuigen volledig onder controle, en met één handeling kan ik zo hun motoren uitzetten.”

Dat heeft de hacker nooit daadwerkelijk gedaan, aangezien het natuurlijk nogal gevaarlijk is. Hij heeft zelf dus niet bewezen dat hij dit echt kan doen. Een woordvoerder van Concox, de fabrikant van een van de GPS-trackers die sommige klanten van ProTrack en iTrack gebruiken, heeft wel aan ons bevestigd dat klanten inderdaad hun motoren op afstand kunnen uitzetten bij een lage snelheid. De apps hebben een speciale functie om hun motor te stoppen, zoals te zien is op dit screenshot, dat is aangeleverd door de hacker:

Rahim Luqmaan, de eigenaar van Probotik Systems, een Zuid-Afrikaans bedrijf dat gebruikmaakt van ProTrack, vertelt Motherboard dat het mogelijk is om ProTrack te gebruiken om motoren te stoppen, mits een technicus die functie inschakelt tijdens het installeren van de tracking-apparatuur.

"Dat maakt het gevaarlijk," zegt Luqmaan over het datalek. "Hij kan echt rommelen met onze producten."

ProTrack is ontwikkeld door iTryBrand Technology, een bedrijf dat gevestigd is in Shenzhen in China. iTrack is een product van Seeworld, een bedrijf uit Guangzhou. Zowel iTryBrand als Seeworld verkopen tracking-apparaten en de cloud-platforms om ze te beheren rechtstreeks aan gebruikers, en ook aan bedrijven die dit weer aan hun eigen klanten verkopen. L&M zegt ook een aantal accounts gehackt te hebben van distributeurs, waardoor hij de voertuigen kon volgen en de accounts van hun klanten kon beheren.

Op de Google Play-app-pagina van iTrack zijn gratis demo-accounts te vinden, waarbij je gebruik kunt maken van de inloggegevens ‘Demo’ met als wachtwoord ‘123456’. ProTrack biedt potentiële klanten een gratis demo aan op hun website. Toen Motherboard de demo deze week uitprobeerde, kwam er een melding dat het wachtwoord gewijzigd moest worden omdat ‘het standaardwachtwoord te simpel is’. Een week eerder, toen Motherboard de demo voor het eerst uitprobeerde, verscheen dit bericht niet. Het standaardwachtwoord ‘123456’ is bovendien terug te vinden in de documentatie van ProTrack’s API.

Als je de gebruikersinterface van beide apps bekijkt, lijkt het er overigens op dat ProTrack en iTrack gebruikmaken van dezelfde onderliggende codering.

L&M zegt dat ProTrack deze week klanten heeft benaderd via de app en mail om ze te vragen hun wachtwoord te wijzigen, maar wachtwoord-resets vooralsnog nog niet worden geforceerd.

ProTrack laat per e-mail weten het datalek niet te willen bevestigen, maar wel dat zij gebruikers aansporen hun wachtwoorden te wijzigen.

“Ons systeem werkt erg goed en het wijzigen van wachtwoorden is een normale manier om accountbeveiliging te bevorderen, zoals andere systemen het ook doen,” zegt een vertegenwoordiger van het bedrijf. “Is dat een probleem?”

iTrack reageerde niet op onze e-mail.

L&M zegt dat hij contact opnam met de bedrijven en om een beloning vroeg. Op een screenshot van de reactie van ProTrack is te lezen dat een vertegenwoordiger de hacker vroeg om een “laag bedrag” te noemen.

“Als we je betalen, laat je ons dan weten hoe je het gedaan hebt en beloof je ons niet opnieuw te hacken? Hoe kunnen we hier zeker van zijn?” staat er. “Sorry voor alle vragen, maar dit is de eerste keer dat we met zo’n ramp te maken hebben.”

De hacker wil niet meer vertellen over zijn interactie met het bedrijf, maar geeft aan te hebben gekregen waar hij om vroeg.

“Ze zijn erdoor gewaarschuwd, en dat voelt als een overwinning,” zegt L&M. “Ze weten nu dat hun klanten risico lopen, waardoor ze gedwongen zijn om veiliger te worden.”