Электрокары
«Хакеры дважды взломали Tesla, чтобы заработать миллион долларов» — под таким заголовком в январе 2024-го вышла Tesla Hacked As Electric Cars Targeted In $1 Million Hacking Spree / Forbes об успехе команды Team Synacktiv на соревнованиях хакеров в Токио. Да, оказывается, есть и такие состязания. За три дня киберспециалистам удалось влезть в модем и информационно-развлекательную систему автомобиля. И хотя этот случай — сугубо интерес к процессу взлома, истории, когда данные пользователей электрокаров утекали в руки злоумышленников, уже случались.
Например, в феврале литовский сервис зарядки электромобилей Ignitis ON Hackers leak data data of around 20,000 Ignitis ON customers in Lithuania / Baltic News с хакерской атакой. В результате данные около 20 000 клиентов были слиты в Сеть. Имена, адреса электронной почты, список токенов аутентификации и номерные знаки автомобилей — все эти сведения хранились в облаке. Руководство компании поспешило заверить, что пароли для входа в приложение (как и банковские сведения) не пострадали, но на всякий случай попросило пользователей сменить их.
К слову, проблема с паролями есть и в России. По последним данным, больше 4,5 миллиона человек используют для доступа к своим аккаунтам незамысловатую комбинацию «123456», на взлом которой требуется меньше секунды. Эксперты Регионального общественного центра интернет-технологий советуют придумывать надёжные пароли: не короче 10 символов, без простых последовательностей, но с использованием специальных символов и букв в разных регистрах.
Роботы-пылесосы
Кажется, заклеивать веб-камеру скотчем уже не имеет смысла, потому что скоро дом современного человека будет буквально напичкан устройствами слежения. Например, два года назад A Roomba recorded a woman on the toilet / MIT Technology Review история с роботами-пылесосами, которые выгружали в облако фото своих владельцев, в том числе интимные. Больше всего пользователей возмутил снимок, где девушка сидела на унитазе. Пикантности истории придавал тот факт, что люди на фото знали о съёмке — они тестировали обучающиеся модели умных роботов с камерами, которые разработчики устанавливали для улучшения навигации по квартире. Однако снимки, предназначенные сугубо для корпоративного использования, всплыли в соцсетях, на что никто из «подопытных» не давал согласия.
Вообще, хакнуть реально любой гаджет, который работает благодаря интернету вещей. Смарт-кофеварки, датчики замков, колонки с ассистентами — всё это может быть использовано злоумышленниками. В 2016 году сотрудники Мичиганского университета совместно с Microsoft Research Samsung SmartThings vulnerability lets hackers make their own house keys / Teck Hive уязвимость в платформе управления умным домом SmartThings. Она позволяла хакерам создавать собственные ключи для дверных замков пользователей. А это, как говорится, уже совсем другая история: от кражи кодов доступа в квартиру не так уж и далеко до реального ограбления. Учёные подчеркнули, что SmartThings не единственная компания, которая имеет дыры в системе управления. Поэтому рядовым пользователям стоит вдумчиво сопоставлять бонусы от использования смарт-продуктов с рисками безопасности. Особенно осторожными следует быть с теми девайсами, что обеспечивают доступ к жилью.
Куклы Барби
Ещё одна шпионская история Hackers can hijack Wi-Fi Hello Barbie to spy on your children / The Guardian в 2016 году. В слежке за пользователями заподозрили Hello Barbie — тогдашнюю новинку рынка игрушек. Куклу оснастили модулем беспроводной связи, чтобы она могла общаться с детьми и отвечать на их вопросы как голосовой помощник. Американский исследователь безопасности Мэтт Якубовски обнаружил, что при подключении к Сети Барби была уязвима для взлома. Он без труда получил доступ к системной информации устройства, данным об учётной записи, сохранённым аудиофайлам, а ещё смог подключиться к микрофону куклы. Детская игрушка могла собирать конфиденциальную информацию о семье, записывать и анализировать личные разговоры ребёнка. И что хуже — получать доступ к другим девайсам, подключённым к домашней сети Wi-Fi.
Фитнес-трекеры
Серьёзная утечка с таких устройств Mass Leak of Fitness Tracking Data Hits Fitbit, Apple, Microsoft, Google; 60 Million Records Exposed by Improperly Configured Third-Party Database / CPO Magazine в 2021 году. Была взломана сторонняя платформа, которая получала данные практически от всех поставщиков носимых трекеров: FitBit, Apple, Microsoft, Google. В результате были раскрыты более чем 60 миллионов записей. Кроме информации о физическом состоянии пользователей, база содержала и конфиденциальные сведения: имена, локации, даты рождения.
Проблема вскрылась не сразу. Исследователи не могут сказать, сколько времени база данных пролежала в открытом доступе, прежде чем её заметили и стали принимать меры. Однако они подчёркивают, что характер информации довольно чувствительный. Сведения о здоровье — ходовой товар в даркнете, а медицинские записи могут стоить сотни долларов каждая. Получив их, злоумышленники могут разрабатывать «схемы доверия» для телефонного мошенничества или банально шантажировать пользователей по поводу деликатного состояния их здоровья.
Секс-игрушки
В неприятную историю Someone made a smart vibrator, so of course it got hacked / The Guardian разработчик популярного парного девайса We-Vibe 4 Plus. По задумке производителя, игрушкой можно было управлять с помощью мобильного приложения: удалённо подключать и настраивать индивидуальные сценарии стимуляции. По иронии судьбы, главная фишка гаджета стала его ахиллесовой пятой. Во-первых, приложение собирало данные пользователей. Во-вторых, программный код оказался не таким уж надёжным — об этом рассказали два участника тематической хакерской конференции в Лас-Вегасе.
В итоге выяснилось, что почти 2 миллиона пользователей игрушки в течение нескольких лет принимали участие в «исследовании», на которое подписались практически случайно: соглашение о конфиденциальности никто из них, скорее всего, не читал. Условия использования We-Vibe 4 Plus не содержали чёткой информации о том, какие именно данные собирает приложение, но оговаривали право производителя передавать их властям. В некоторых странах мастурбация до сих пор 22 bizarre things you probably didn’t know are banned or illegal around the world / Business Insider, поэтому подобная опция не выглядит такой уж невинной.
