Комментарии 23
Т.е. там было настолько дыряво, что можно было отправить запрос на смену пароля зная только email сотрудника? Во всех нормальных системах тебе на указанную почту приходит ссылка на восстановления с токеном.
Дак еще и этап двухфакторной аутентификации оказался просто слоем над страницей, пропустить которой возможно было закомментив js, который рисовал гомеопатическую форму.
-- А бэкенд готов?
-- Не-а, у нас там срочный баг с запуском двигателя, а потом нужно ещё для твоих табличек иконки добавить в датасет... А с четверга я в отпуск...
-- Слушай, ну хоть заглушку сделай на метод, пусть всегда 200 возвращает. Я её буду дергать при 2FA, а потом как ты код докинешь, всё волшебным образом заработает.
-- Ну ок, щас баг доправлю, заодно тебе метод закачу. После отпуска мне напомни только...
-- Огонь! Не волнуйся, напомню.
А сам факт того, что сотрудники компании могут получить доступ к управлению авто клиентов? Можно попытаться логически это объяснить, но в целом - странная история.
Те хоть по недосмотру. А Фольксваген собирал телеметрию, местоположение машин клиентов с точностью до сантиметра. И даже взламывать не пришлось, всё само утекло...
Нахождение такой информации в (почти) публичном доступе не порадует ни одного владельца автомобиля Volkswagen Group, но в издании Spiegel приводят уж совсем неприятные примеры. Это и данные о перемещении полицейских автомобилей, и точная информация о путешествиях немецких политиков. Интересно, что геолокация в базе хранилась отдельно от персональных данных, но во многих случаях было возможным сопоставление разных баз в утечке так, чтобы привязать лог перемещений к конкретному пользователю — по данным, которые сам пользователь ввел в приложении для работы с автомобилем.
Возможно, PoC стоило послать не в Субару, а их покупателям: интересно, какой ураган поднялся бы, получил тысячи автовладельцев копию всей информации о себе, включая логи звонков, нажитой непосильным трудом автопроизводителя...
Зачем? Ради шума?
Да, ради шума. Потому что пока эта инфа проходит по профессиональным сайтам, реакция: ну, моледец Субару, быстро отреагировали на инцидент. А если об этом напишет условный NYT на первой полосе, Субару и другие автопроизводители будут более лучше стараться не допускать такие инциценты.
Я правильно понял что starlink это не тот старлинк который в космосе?
За что боролись, на то и напоролись.
Вот создают же проблему на пустом месте (я про автопроизводителей):
зачем вообще авто подключать к интернету? Не подключения к интернету - нет большинства проблем.
ок, захотели порадовать зумеров очередным бесполезным приложением в телефоне. Ну так физически разделите два "контура" упраления в авто: один - оффлайноый (как на всех нормальных авто без доступа в интернет), а второй - для взаимодействия с интернетом. Общение двух "компьютеров" - исключительно по ограниченному и защищенному API и только в рамках дозволенного по принципу "что не разрешено, то запрещено".
Что бы приглашать на ТО, как минимум, как максимум собирать информацию и использовать в своих проектах или продавать.
Ну так это можно и без подключения к интернету делать. Пиши логи на внутренний оффлановый носитель, во время планового ТО скачивай эту информацию (что официал, что неофициал скорее всего все равно использует какое-то фирменное диагностическое ПО). Напоминание о ТО как-то работало десятилетия и без интернета (да и в Европе например большинство более-менее свежих машин и так обслуживается у официалов)...
В общем я про то, что ту же задачу можно было бы решить с меньшими рисками без ощутимой потери результата.
Ставят же люди сигналки с дистанционным заводом двигателя попутно нейтрализуя встроенный иммобилайзер автомобиля. Все ради удобства, о безопасности думают в последнюю очередь.
Хакаем любую Субару с доступом к Интернету