In het kort:
Het beveiligingslek in Subaru's Starlink-platform maakte het mogelijk om zonder toestemming toegang te krijgen tot gebruikersaccounts en voertuigfuncties.
- Hackers konden auto's starten, stoppen en ontgrendelen met alleen een kenteken en staat
- Het lek gaf toegang tot persoonlijke data zoals namen, adressen en locatiegeschiedenis
- Subaru repareerde het probleem binnen 24 uur na melding
Achter de schermen:
De onderzoekers Sam Curry en Shubham Shah ontdekten een zwakke plek in het wachtwoordherstelproces van het werknemersportaal.
- Ze omzeilden de multi-factor authenticatie door deze simpelweg te verbergen in de interface
- Via het lek konden ze bij duizenden locatiegegevens van individuele auto's komen
- Een testvoertuig verzamelde in één jaar tijd bijna 1600 GPS-datapunten
De onderste regel:
Het beveiligingslek toont aan hoe kwetsbaar moderne, connected auto's kunnen zijn voor cyberaanvallen. De snelle reactie van Subaru heeft mogelijk ernstig misbruik van het lek voorkomen.