image

Kwetsbaarheden in online diensten voor gps-trackers

woensdag 3 januari 2018, 10:11 door Redactie, 1 reacties
Laatst bijgewerkt: 03-01-2018, 14:16

Onderzoekers hebben in een groot aantal online diensten voor gps-trackers kwetsbaarheden gevonden waardoor het voor derden mogelijk is om de locatiedata van alle apparaten op te vragen die door de betreffende dienst worden beheerd. Het gaat dan om gps-horloges voor kinderen en ouderen, alsmede fitness- en voertuigtrackers. De locatie van deze apparaten kan via allerlei online diensten worden opgevraagd.

Meerdere kwetsbaarheden in deze online diensten maken het echter mogelijk voor kwaadwillenden om de locatiedata, model/typenaam, serienummer, IMEI en telefoonnummer op te vragen. De diensten voorzien de accounts van gebruikers van het standaardwachtwoord 123456 en hebben logbestanden, broncode, API-endpoints, WSDL-bestanden en andere informatie niet afgeschermd.

De onderzoekers stellen dat ze alleen met het Nederlandse One2Track contact wisten te krijgen. Het bedrijf laat in een verklaring het volgende weten: "Via dit beveiligingslek zou het voor een ervaren hacker mogelijk kunnen zijn om gegevens zoals het IMEI nummer, de locatie, horloge model en GSM nummers van horloges te achterhalen. Echter voor zover wij hebben kunnen beoordelen is het niet mogelijk om deze gegevens ook daadwerkelijk aan een natuurlijk persoon te verbinden, daarnaast hebben wij geen aanwijzingen gevonden dat deze inbraak ook daadwerkelijk heeft plaatsgevonden." Na te zijn ingelicht kwam One2Track binnen 48 uur met een update om het probleem te verhelpen. Daarnaast is er melding gedaan bij de Autoriteit Persoonsgegevens.

Andere leveranciers konden niet worden bereikt. Op vier na waren bij alle online diensten geen contactgegevens opgegeven. De whois-gegevens van de domeinnaam beschikten wel over een e-mailadres, maar geen van de verantwoordelijke leveranciers reageerde op de e-mails van de onderzoekers. Die hebben dan ook een overzicht van kwetsbare aanbieders online gezet. Gebruikers van gps-trackers die van de kwetsbare aanbieders gebruikmaken krijgen het advies het standaardwachtwoord te wijzigen, de gps-trackers niet te gebruiken en zoveel mogelijk informatie bij de kwetsbare aanbieders te verwijderen.

Reacties (1)
03-01-2018, 13:59 door Anoniem
" Echter voor zover wij hebben kunnen beoordelen is het niet mogelijk om deze gegevens ook daadwerkelijk aan een natuurlijk persoon te verbinden" * belt nummer anoniem op * oh dat is Jantje Stegeman. Te idioot voor woorden natuurlijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.