3min Security

Door Subaru-lek konden miljoenen auto’s gehackt of gestolen worden

Door Subaru-lek konden miljoenen auto’s gehackt of gestolen worden

Ethische hackers Sam Curry en Shubham Shah wisten Subaru’s Starlink-dienst te hacken. Hierdoor had het tweetal onbeperkt toegang tot alle voertuigen en klant-accounts in de VS, Canada en Japan.

Curry legt uit wat allemaal mogelijk was nadat zij het systeem van Subaru hadden geïnfiltreerd. Het was mogelijk om auto’s op afstand aan te zetten, te stoppen, op slot te zetten, te ontgrendelen en de locatie van elk individueel voertuig te tracken. Ook was de locatiegeschiedenis van het afgelopen jaar na te lezen tot een accuratesse van 5 meter. Tevens lagen andere gevoelige klantgegevens voor het oprapen, inclusief de laatste 4 cijfers van elke creditcard en de toegangscode tot hun auto’s. Ten slotte konden de hackers alle interacties met de klantenservice, eerder eigenaren, de kilometerteller en de verkoopgeschiedenis zien.

Snel gedicht

Zoals het ethische hackers betaamt werd de kwetsbaarheid gemeld bij Subaru, dat het lek binnen 24 uur dichtte. Het is onbekend of malafide hackers ooit toegang hadden tot de Starlink-systemen van het Japanse automerk. Een soortgelijke situatie deed zich op de valreep van 2024 voor bij Volkswagen-onderdeel CARIAD. Toen waren de gegevens van 600.000 auto’s beschikbaar. Wederom meldden ethische hackers de geëxploiteerde kwetsbaarheid aan het bedrijf.

Curry en Shah wisten op relatief eenvoudige wijze de domeinen en subdomeinen van het Subaru-systeem te vinden. Gauw bleek dat er direct toegang was tot een adminpaneel, waarbij het resetten van een wachtwoord kinderlijk eenvoudig was. Na het overnemen van een werknemersaccount werd het mogelijk om gehele kaarten te vullen met de bewegingen van Subaru-auto’s in het afgelopen jaar. Vervolgens ontdekte het tweetal hoe enorm het datalek dat ze hadden ontdekt was: zoals gezegd ging het om bergen aan gevoelige gegevens.

Auto’s weten veel

Eerder onderzoek van Mozilla heeft al laten zien dat moderne auto’s privacynachtmerries zijn. Ontzettend veel persoonlijke gegevens zouden te tracken zijn met de informatie die ‘connected cars’ aan hun fabrikant doorspelen. Dat betreft echter data die binnen de muren van automakers blijven en selectief worden doorverkocht. Op zich al kwalijk genoeg, maar een securitylaag moet voorkomen dat iedereen toegang kan hebben tot deze gegevens. Nu blijkt wat voor een goudmijn kwaadwillenden te wachten staat als ze een centraal dashboard van een automerk kunnen hacken.

Het is ronduit onverantwoord om dergelijke gegevens zomaar inzichtelijk te maken, zelfs met een admin-account voor software engineers. Er moet enige frictie zijn tussen een admin en het raadplegen van niet-geanonimiseerde klantgegevens. Zo blijkt andermaal wat het gevaar is van een overvloed aan dataverzameling voor klanten. Het geluk is deze keer dat ethische hackers hun kwaadwillende tegenhangers voor waren, hoewel nooit met zekerheid te stellen is dat dit werkelijk het geval was.

Lees ook: Datalek Volkswagen benadrukt grote privacyrisico’s