Trackimo: geolocalización de rastreadores GPS expuesta para todos
Una contraseña débil abrió el acceso a datos confidenciales.
Un hacker violó la herramienta interna de la compañía Trackimo y obtuvo acceso al historial de movimientos de los usuarios. Trackimo vende rastreadores GPS que se utilizan para monitorear a miembros de la familia, mascotas, automóviles y objetos de valor.
El hacker "maia arson crimew" relató que logró infiltrarse en el sistema de soporte interno de Trackimo después de encontrar un correo electrónico con la contraseña de la herramienta de diagnóstico Trackimo Troubleshooter. Con esta herramienta, el hacker pudo rastrear no solo su propio dispositivo, sino también los dispositivos de otros usuarios. Según maia, el sistema era vulnerable debido a una contraseña simple que fue fácil de adivinar.
La herramienta Trackimo Troubleshooter permite mostrar las ubicaciones recientes de un dispositivo en una interfaz similar a Google Maps. Los datos se basan en señales de GSM, WiFi y GPS recibidos del dispositivo. Además, el panel de la herramienta muestra información sobre el propietario del dispositivo, incluidos su correo electrónico, nombre y número de teléfono. También se proporcionan datos de diagnóstico, como la cantidad de reinicios no intencionados del dispositivo y los casos de funcionamiento con batería baja.
Interfaz de Trackimo Troubleshooter que muestra la información del rastreador
En su informe sobre la violación, maia describió en detalle cómo obtuvo acceso a los sistemas de Trackimo. El hacker compró un dispositivo Trackimo por $10, pagó una suscripción y comenzó a explorar la interfaz web de la compañía. Durante el proceso, se descubrieron nombres de usuario y contraseñas codificados, integrados en la aplicación móvil de Trackimo.
Conjunto de rastreador GPS: imán para fijación a vehículos, cajas, etc., clip para fijar en el cinturón o la ropa, funda de silicona para protección contra caídas y salpicaduras, y simplemente un cordón.
Al analizar los correos electrónicos del soporte de Trackimo, maia encontró otra contraseña que permitió acceder a Trackimo Troubleshooter. La herramienta ofrecía acceso a casi todos los datos de cualquier dispositivo, simplemente usando su identificador.
La compañía Trackimo afirmó que el hacker ya no tiene acceso a sus sistemas, las contraseñas fueron cambiadas y la herramienta Trackimo Troubleshooter fue deshabilitada. Sin embargo, maia sostiene que con la herramienta pudo obtener datos de varios dispositivos, además del que compró. Estos dispositivos podrían estar relacionados con investigaciones policiales en las que se utilizaron dispositivos o datos de Trackimo. Sin embargo, Trackimo asegura que el hacker no obtuvo acceso a los datos de otros dispositivos.
Maia subrayó que informó a Trackimo sobre todas las vulnerabilidades detectadas, y la compañía solucionó los problemas.
¿Tu Wi-Fi doméstico es una fortaleza o una casa de cartón?