Door een kwetsbaarheid in Subaru's diensten konden hackers auto's ontgrendelen en de reisgeschiedenis van bestuurders bijhouden

Eind vorig jaar ontdekten onderzoekers een ernstig beveiligingslek in Subaru's interne webservice en in-car systeem, Subaru Starlink. Hierdoor kreeg Subaru volledige toegang tot de persoonlijke gegevens van zijn klanten, inclusief locatiegeschiedenis, noodcontacten, belgeschiedenis en meer.

Dit is wat we weten

Cyberbeveiligingsonderzoekers Sam Curry en Shubham Shah ontdekten de kwetsbaarheid in november 2024 tijdens onderzoek naar de Subaru Impreza uit 2023 van Curry's moeder, die hij een jaar eerder had gekocht. Curry vertelde Wired in een commentaar dat hij toegang had gekregen tot minstens een jaar aan exacte locatiegeschiedenis en andere gevoelige informatie van de auto.

Onderzoekers konden inloggen op de website van Subaru onder een gehackt account van een medewerker van het bedrijf. Hierdoor konden ze de controle over de Starlink-functies van de auto overnemen en toegang krijgen tot een enorme hoeveelheid persoonlijke gegevens, waaronder de naam van de klant, noodcontacten, belgeschiedenis, huisadres en zelfs de PIN-code van de auto. Ze konden de auto ook op afstand ontgrendelen en starten. Het enige wat ze nodig hadden was de achternaam van het slachtoffer samen met het kenteken van de auto, de postcode, het telefoonnummer of het e-mailadres van de eigenaar.

Het is de verdienste van Subaru dat dit lek niet meer bestaat. Bovendien repareerde de autofabrikant het achterpoortje voor de aanvallers in minder dan 24 uur nadat ze ervan op de hoogte waren gesteld. Volgens Sam Curry is het probleem echter niet alleen dat onbevoegden toegang kunnen krijgen tot auto's, maar dat vrijwel elke medewerker van de autofabrikant volledige toegang heeft tot gevoelige informatie van gebruikers. Dit geldt waarschijnlijk niet alleen voor Subaru, maar voor de hele auto-industrie.

Bron: Wired