Curry sagte, der Einbruch in Ferraris Back-End sei ebenfalls bemerkenswert.
“Eine Sache, die irgendwie Spaß gemacht hat, war die Ferrari-Schwachstelle”, sagte Curry. „Wir hatten alle, die einen Ferrari gekauft haben, und wir konnten ihren vollständigen Namen, Adresse, Telefonnummer, physische Adresse und Informationen über ihr Fahrzeug erhalten.
„Wir könnten einfach das Ferrari-Konto von irgendjemandem übernehmen und uns als sie ausgeben und ihre Verkaufsunterlagen abrufen“, fügte er hinzu.
Die Gruppe hat auch das Back-End von Spireon durchbrochen. Spireon bietet geräteunabhängige Telematik für Flottenfahrzeuge und Fahrzeuge, die auf seinen OnStar- und GoldStar-Plattformen betrieben werden.
„Ich denke, die Leute sollten sich Sorgen um die Schwachstellen von Spireon machen“, sagte Curry. „Sie haben 15 Millionen verschiedene Fahrzeuge. Spireon hat viele Flotten- und Endbenutzerfahrzeuge mit GoldStar oder OnStar und Tonnen anderer Fahrzeuglösungen.
„Wir konnten Befehle an Autos senden, um den Anlasser zu deaktivieren, ihn aus der Ferne zu entriegeln, ihn aus der Ferne zu starten, und wir hatten vollen Administratorzugriff, bei dem wir mit diesen Geräten im Grunde machen konnten, was wir wollten“, sagte er.
Curry sagte, die Schwachstellen von Spireon seien besorgniserregend, da viele Fahrzeugbesitzer, selbst wenn sie OnStar nicht abonniert haben, den Dienst in ihren Autos haben.
„Spireon ist so tief in das Auto-Ökosystem eingebettet – sie haben so viele verschiedene Funktionalitäten, die sie so vielen verschiedenen Kunden, Millionen von Benutzern und Millionen von Fahrzeugen zur Verfügung stellen“, sagte Curry. „Wenn wir uns selbst zur Cincinnati State Police einladen wollten, hätten wir mit diesem Verstoß Polizeiautos und Krankenwagenstarter und ähnliches aus der Ferne deaktivieren können.“
Spireon sagte, dass seine Cybersicherheitsexperten „die angeblichen Systemschwachstellen bewerteten und sofort im erforderlichen Umfang Abhilfemaßnahmen ergriffen. Wir haben auch proaktive Schritte unternommen, um die Sicherheit unseres gesamten Produktportfolios im Rahmen unseres anhaltenden Engagements für unsere Kunden als führender Anbieter von Aftermarket weiter zu stärken.“ Telematiklösungen.”
Curry hackte auch Reviver, ein Unternehmen, das digitale Nummernschilder an Verbraucher und Flotten verkauft. Er konnte vollen „Superadministrationszugriff“ erhalten, um alle Reviver-Benutzerkonten und -Fahrzeuge zu verwalten.
Zu den Funktionen, die er aus der Ferne ausführen konnte, gehörte die Verfolgung des physischen GPS-Standorts aller Reviver-Kunden. Er könnte jeden Fahrzeugstatus auf „gestohlen“ aktualisieren, wodurch das Nummernschild aktualisiert und die Strafverfolgungsbehörden informiert werden, und auf alle Benutzerdatensätze zugreifen. Die Hacker konnten feststellen, welche Fahrzeuge die Personen besaßen, ihre physische Adresse, Telefonnummer und E-Mail-Adresse.
Ein Reviver-Sprecher sagte, Führungskräfte des Unternehmens hätten sich mit Curry und Datensicherheits- und Datenschutzexperten getroffen, um die Schwachstellen des Unternehmens zu beheben.
„Unsere Untersuchung hat bestätigt, dass diese potenzielle Schwachstelle nicht missbraucht wurde. Kundeninformationen waren nicht betroffen, und es gibt keine Hinweise auf ein anhaltendes Risiko im Zusammenhang mit diesem Bericht“, sagte Reviver. „Als Teil unseres Engagements für Datensicherheit und Datenschutz haben wir diese Gelegenheit auch genutzt, um zusätzliche Sicherheitsvorkehrungen zu identifizieren und zu implementieren, um unsere bestehenden, bedeutenden Schutzmaßnahmen zu ergänzen.“