En sårbarhet i Subarus tjenester gjorde det mulig for hackere å låse opp biler og spore sjåførenes reisehistorikk

Sent i fjor oppdaget forskere et alvorlig sikkerhetshull i Subarus interne webtjeneste og bilsystem, Subaru Starlink. Det åpnet for full tilgang til selskapets kunders personlige data, inkludert lokasjonshistorikk, nødkontakter, anropshistorikk og mer.

Dette er hva vi vet

Cybersikkerhetsforskerne Sam Curry og Shubham Shah oppdaget sårbarheten i november 2024 mens de undersøkte Currys mors Subaru Impreza fra 2023, som han hadde kjøpt et år tidligere. Curry fortalte Wired i en kommentar at han hadde fått tilgang til minst et års verdi av bilens nøyaktige posisjonshistorikk og annen sensitiv informasjon.

Forskere var i stand til å logge seg på Subarus nettsted under en hacket konto til en ansatt i selskapet. Dermed kunne de ta kontroll over bilens Starlink-funksjoner og få tilgang til en enorm mengde personopplysninger, inkludert kundenavn, nødkontakter, samtalehistorikk, hjemmeadresse og til og med bilens PIN-kode. De kunne også fjernlåse bilen og starte den. Alt de trengte, var offerets etternavn sammen med bilens registreringsnummer, eierens postnummer, telefonnummer eller e-postadresse.

Til Subarus kreditt eksisterer ikke denne sårbarheten lenger. Dessuten fikset bilprodusenten smutthullet for angriperne på mindre enn 24 timer etter å ha blitt varslet om det. Ifølge Sam Curry er problemet imidlertid ikke bare at uvedkommende kan få tilgang til bilene, men at praktisk talt alle ansatte hos bilprodusenten har full tilgang til brukernes sensitive informasjon. Dette gjelder sannsynligvis ikke bare Subaru, men bilindustrien som helhet.

Kilde: Wired Wired