Motherboard racconta una storia che ha dell’incredibile ma ben evidenzia quanto una superficiale gestione delle credenziali, a tutti i livelli, possa portare a conseguenze davvero spiacevoli.
Un ricercatore indipendente (ne è stato diffuso solo il nickname “L&M”) ha spiegato di essere riuscito a violare oltre 7.000 account iTrack e oltre 25.000 account ProTrack.
Si tratta di alcuni servizi che le aziende utilizzano per monitorare in tempo reale la posizione e lo stato dei loro veicoli. Utilizzando le informazioni GPS e una connessione dati, è possibile accedere a un pannello web che mostra le indicazioni sulla posizione esatta di ogni mezzo: in questo modo è possibile verificare che non vengano effettuate deviazioni rispetto ai percorsi concordati, che gli spostamenti avvengano seguendo la programmazione e in caso di furto o incidente si può geolocalizzare istantaneamente l’auto o il furgone.
Il problema è che nelle applicazioni in questione, stando a quanto dichiarato da “L&M”, è impostata la password di default 123456
. Il ricercatore ha potuto accertarsene effettuando il reverse engineering di iTrack e ProTrack per poi sferrare un attacco brute forcing per cercare di risalire ai nomi degli account utente.
Realizzando uno script in grado di provare automaticamente milioni di nomi utente diversi insieme con la password predefinita, il ricercatore afferma di essere riuscito a estrarre con successo i dati relativi a migliaia di account dei clienti.
Secondo Motherboard, l’aggressore sarebbe riuscito a mettere le mani su informazioni quali nome e modello dei dispositivi GPS installati nei veicoli, IMEI di ciascun device, nomi utente, nomi e cognomi degli utenti, numeri telefonici, indirizzi email e indirizzi postali (non è stato possibile estrarre i dati per tutti gli account ma per una buona parte di essi l’attacco è andato in porto senza problemi).
Addirittura, in molti casi (anche se “L&M” si è ovviamente astenuto dal farlo), l’interfaccia esposta dai due servizi di tracciamento a distanza permetteva di spegnere il motore del veicolo da remoto, quando fermo oppure a velocità inferiori ai 20 chilometri orari.
Entrambe le aziende coinvolte nell'”incidente” reso pubblico da Motherboard hanno dichiarato di aver comunicato ai rispettivi clienti di modificare immediatamente la password predefinita.
Quanto accaduto riaccende ancora una volta il problema sull’utilizzo delle password predefinite e sulla mancata applicazione di policy, da parte di alcuni produttori, che obblighino i clienti a modificarle scegliendone di sufficiemente lunghe e complesse: Creare password sicura: oggi ricorre il World Password Day.
Nell’era del “tutto sul cloud” vale la pena rileggere anche gli articoli Videocamere IP e dispositivi cloud a basso costo diventano spie per ficcanaso e malintenzionati, Dispositivi smart più pericolosi per la privacy: Mozilla ne pubblica l’elenco e Proteggere gli account web e migliorarne la sicurezza.
Il cloud apre scenari impensabili fino a qualche tempo fa ma è fondamentale scegliere servizi e prodotti che offrano sufficienti garanzie in termini di sicurezza assicurandosi di fare la propria parte con la scelta di password sicure, l’utilizzo di sistemi di autenticazione a due fattori, l’aggiornamento dei sistemi con l’applicazione delle patch di sicurezza, evitare di esporre porte sugli IP pubblici: Router, le operazioni da fare per renderlo sicuro.
Per non parlare del fatto che servizi “delicati” e strategici come quelli in questione dovrebbero poter consentire l’utilizzo di forme di autenticazione a due fattori oltre che bloccare sul nascere tentativi di attacchi brute force – tesi a “indovinare” username e password degli utenti – come quello messo in campo da “L&M”.