Müşteri verilerini potansiyel olarak telematik yoluyla ifşa etmek için kullanılan araç kimlik numaralarının raporlarına göz atıyoruz.
Yıllar geçtikçe veri toplamanın ve veri kullanılabilirliğinin daha az anlamlı hale gelmesinin birçok yolu vardır. Buna genellikle değişime, bu süreçleri iyileştirmeye yönelik bir direniş eşlik eder, çünkü “biz hep böyle yaptık”. Ne yazık ki, bu veri toplayıcılara bu bilgilerle gerçek dünyaya nasıl zarar verileceği gösterildiğinde bile durum genellikle böyledir.
Müşteri bilgilerinin ön camdaki bir VIN numarası aracılığıyla potansiyel olarak alınabileceği motorlu taşıt alanında bunun başka bir örneğini görüyoruz.
Araç Kimlik Numarasının (VIN) kısa geçmişi
VIN (veya şasi numarası), 1981’den sonra kullanıma sunulan tüm araçlarda bulunan benzersiz bir işarettir ve orijinal olarak size bir aracın geçmişine göz atmanın kolay bir yolunu sunmak için tasarlanmıştır. Bu sayı, sigorta ve kazalardan, yapılan tadilat işlerine ve hatta suça kadar her şey için çok önemlidir.
17 haneli numaranın ayrı bölümleri, otomobil hakkında üreticiden özelliklere kadar her türlü bilgiyi detaylandırır. Bu verileri bir araya getirmenin bir yolu olmasaydı, bir alıcı olarak kendinizi neyin içine soktuğunuzu bilmenin gerçek bir yolu olmazdı ve bu da ileride büyük sonuçlar doğurabilirdi.
Uzun bir süre VIN amacına hizmet etti ve sağlanan veriler herhangi bir soruna neden olmadı.
Araçların birçok önemli operasyonda giderek daha fazla dijital hale gelmesiyle, mümkün olduğunda bu dijital bilgilerin denenmesi ve korunmasına ihtiyaç vardır. Bir şeyler ters giderse, birisi bir istismar oluşturursa veya bir güvenlik açığı bulursa, bunun araç sahibi için sonuçları olabilir.
Zaman ilerledi. Kapı çerçevesi veya motor bloğu da dahil olmak üzere bir arabanın çeşitli yerlerine çeşitli miktarlarda araç sahibine özel bilgilerin asılması pek mantıklı değildir.
Bu da bizi düzgünce bir araba ön camına götürüyor…
Sadece VIN ve katlan
Daha fazla araba korsanlığı!
Bu yılın başlarında, uzaktan bağlı Honda, Nissan, Infiniti ve Acura araçlarının kilidini tamamen yetkisiz bir şekilde, yalnızca arabanın VIN numarasını bilerek uzaktan açabildik, çalıştırabildik, yerini tespit edebildik, flaş yapabildik ve korna çalabildik.
İşte nasıl bulduğumuz ve nasıl çalıştığı: pic.twitter.com/ul3A4sT47k
— Sam Curry (@samwcyo) 30 Kasım 2022
Pek çok ilginç sistem istismarında olduğu gibi, zayıf nokta birçok kişi tarafından kullanılan bir hizmettir. Bu durumda, telematik hizmeti. Telematik araç ağ geçitleri, aracınıza entegre edilmiş birkaç hizmeti bir arada sunar. GPS, yardım, çarpışma bildirimi ve sunucu ile motorlu araç arasında çok daha fazla akış.
Araştırmacılar, birden fazla araba markasına SiriusXM tarafından hizmet verildiğini fark ettiler:
Bu caddeyi keşfederken, kaynak kodunda ve araç telematiği ile ilgili belgelerde başvurulan SiriusXM’yi görmeye devam ettik.
Bu bizim için çok ilginçti, çünkü SiriusXM’nin herhangi bir uzaktan araç yönetimi işlevi sunduğunu bilmiyorduk, ama öyle görünüyor ki sunuyorlar! pic.twitter.com/Thxkdkdhn4
— Sam Curry (@samwcyo) 30 Kasım 2022
Komutlara yeşil ışık yakmak için gereken tek şeyin arabanın VIN’i olduğunu çabucak anladılar. Daha da kötüsü, VIN’i bu şekilde kullanmak müşterinin adını, telefon numarasını, adresini ve araba ayrıntılarını almak için yeterliydi.
Yetkilendirme taşıyıcısını aldık ve kullanıcı profilini getirmek için bir HTTP isteğinde kullandık. İşe yaradı!
Yanıt, kurbanın adını, telefon numarasını, adresini ve araba ayrıntılarını içeriyordu.
Bu noktada, herhangi bir VIN numarasının müşteri ayrıntılarını getirmek için basit bir python betiği yaptık. pic.twitter.com/J2eK5Y3qAB
— Sam Curry (@samwcyo) 30 Kasım 2022
Uzaktan korna çalmak ve ışıkları yanıp sönmek mi? Ayrıca yapılabilir:
Bunu artırmaya devam ettik ve araç komutlarını çalıştırmak için HTTP isteğini bulduk.
Bu da işe yaradı!
Sadece kurbanın ön camdaki VIN numarasını bilerek araçlara komutlar verebilir ve hesaplardan kullanıcı bilgilerini alabiliriz. pic.twitter.com/TrEqbIrSEU
— Sam Curry (@samwcyo) 30 Kasım 2022
Neyse ki, bu kusuru keşfedenler bunu bildirdi ve SiriusXM, sorunun halka duyurulmasından önce düzeltti. Ne yazık ki, Devlet kurumlarının bu verileri, bir arabanın bilgi-eğlence sisteminden IP adresine, telefon numarasına ve e-posta adresine erişebildiklerini iddia eden devriye görevlileriyle olmaması gereken şekillerde kötüye kullanıyor olabileceğine dair bir endişe var. Hatta telefonun kendisi olmadan bir arabaya bağlanan telefonlardan verilerin kurtarılmasından bile bahsediliyor.
“Araba verilerini silahlandırmak”, görmeyi beklediğiniz bir cümle olmayabilir, ama işte buradayız.
Veri kullanılabilirliği, veri gizliliğine yetişiyor
Araba VIN numaraları, sürekli büyüyen “Eskiden böyle yapardık ve verileri bunun için kullanırdık, ancak kesinlikle şimdi bunu yapmanın daha iyi bir yolu olmalı” listesine yeni eklenenlerden yalnızca biri.
İnsanların WHOIS iletişim bilgileri için ev adresleri ve telefon numaralarıyla bir web sitesi kurduğunu hatırlıyor musunuz? Trolleme, doxxing ve swatting çağında iş adreslerini, posta kutularını veya etki alanı gizlilik hizmetlerini kullanmak yerine şimdi bunu yapan birini hayal edebiliyor musunuz?
Ne yazık ki birçok insan hâlâ böyle bir genel veri tabanının oluşturabileceği riskin farkında olmadıkları için bunu yapın.
Başka yerlerde, Birleşik Krallık’ta seçmen kütüğü denen bir şey var. Oy kullanma hakkı olan herkes bu listede yer almalıdır. Bu listenin herkesin satın alabileceği bir “Açık” sürümü var. Bu, belirli kişiler için bariz bir gizlilik ve güvenlik riskidir.
Çıkarsanız, listeden çıkmak istediğinizi her 12 ayda bir onaylamanız gerekir. Aksini özellikle söylemediğiniz sürece asla geri dönmek istemediğinizi varsaymak daha kolay olmaz mıydı? ICO makalesinde belirtildiği gibi, tam ve açık sicile dahil olmak varsayılandır. Anonim olarak kayıt olabilirsiniz, ancak bu dolambaçlı bir süreçtir. Neden bunun nasıl çalıştığını değiştirip bununla işimizi bitirmiyoruz?
Bir sürüş endişesi
Belki de arabanızdaki VIN numarasıyla ilgili olarak sormamız gereken soru budur. Bu kadar kolay erişilebilen bir şey, bir mal sahibinin dijital olarak bağlantılı kişisel bilgilerini tahmin edemeyeceğimiz şekillerde getiriyorsa, sistemi değiştirmek için güçlü bir neden var demektir. Yukarıda yapıldığı gibi, arabanızın kapısındaki bir numara aracılığıyla bilgileri çekememeliyiz.
Diğer telematik hizmetleri VIN’i burada olduğu gibi kullanırsa şaşırırım, ancak kaç tane popüler markanın potansiyel olarak buna karşı savunmasız olduğu göz önüne alındığında, kesinlikle düşünmeme neden oluyor. Evinizdeki Nesnelerin İnterneti, güvenlik cihazları ve hatta arabalarla ilgili dijital endişeleriniz varsa, bu, bir satın alma işlemi yaparken aklınızda bulundurmanız gereken başka bir şeydir.
Daha fazla araç ağlara ve sunuculara kablosuz olarak bağlandığından, bu yakın zamanda ortadan kalkacak bir sorun değil. WHOIS kaydının ve genel kayıtların dışında kalmayı seçmenin aksine, bu, tüketiciler olarak nispeten daha az kontrole sahip olduğumuz potansiyel gizlilik sorunlarıyla hayatınızın teknik bir yönüdür. Araba üreticileri ne diyorsunuz?
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.