Trong thời đại xe cộ ngày càng kết nối nhiều hơn, một lỗ hổng bảo mật quan trọng đã được phát hiện trong hệ thống Starlink của Subaru, cho thấy những thách thức ngày càng tăng về bảo mật mạng đối với công nghệ ô tô hiện đại. Lỗ hổng này, dù đã được vá, đã để lộ những điểm yếu nghiêm trọng có thể cho phép tin tặc truy cập trái phép vào xe và dữ liệu người dùng nhạy cảm.
Lỗ hổng Bảo mật
Các nhà nghiên cứu bảo mật Sam Curry và Shubham Shah đã phát hiện ra một lỗ hổng nghiêm trọng trong dịch vụ xe kết nối Starlink của Subaru ảnh hưởng đến các xe tại Hoa Kỳ, Canada và Nhật Bản. Việc khai thác chỉ cần thông tin tối thiểu - chỉ cần họ của người lái xe kết hợp với mã ZIP, địa chỉ email, số điện thoại hoặc biển số xe. Lỗ hổng bảo mật này cho phép truy cập trái phép vào các chức năng quan trọng của xe và dữ liệu người dùng nhạy cảm.
Khu vực bị ảnh hưởng:
- United States
- Canada
- Japan
Phạm vi Truy cập
Lỗ hổng này cho phép kẻ tấn công kiểm soát chưa từng có đối với các xe bị ảnh hưởng, bao gồm khả năng khởi động và tắt máy từ xa, khóa và mở khóa cửa, và theo dõi vị trí thời gian thực. Điều đáng lo ngại hơn là việc truy cập được lịch sử vị trí chi tiết trong một năm, chính xác đến từng vị trí đỗ xe. Thông tin cá nhân bao gồm địa chỉ nhà, chi tiết thanh toán, liên hệ khẩn cấp và lịch sử xe cũng bị lộ.
Các Loại Dữ Liệu Bị Lộ:
- Vị trí xe theo thời gian thực
- Lịch sử vị trí trong một năm
- Các chức năng điều khiển xe
- Thông tin cá nhân
- Chi tiết thanh toán
- Danh bạ khẩn cấp
- Lịch sử cuộc gọi hỗ trợ
- Chỉ số đồng hồ công-tơ-mét
- Thông tin chủ sở hữu trước đây
Lỗ hổng Kỹ thuật
Lỗ hổng này xuất phát từ điểm yếu trong cổng thông tin nhân viên và hệ thống xác thực của Subaru. Mặc dù đăng nhập Starlink được bảo vệ bởi xác thực hai yếu tố và câu hỏi bảo mật, các nhà nghiên cứu phát hiện ra họ có thể bỏ qua các biện pháp bảo mật này bằng cách đơn giản là sửa đổi mã trang web. Lỗi triển khai này đã vô hiệu hóa hoàn toàn hệ thống bảo vệ mật khẩu.
Phản hồi của Subaru và Những Lo ngại Hiện tại
Mặc dù Subaru đã phản ứng nhanh chóng bằng cách vá lỗ hổng trong vòng 24 giờ sau khi được thông báo, sự cố này đặt ra những câu hỏi nghiêm trọng về quyền truy cập dữ liệu trong công ty. Nhân viên hiện tại của Subaru vẫn giữ quyền truy cập rộng rãi vào thông tin khách hàng, bao gồm lịch sử vị trí và thông tin cá nhân, với sự giám sát tối thiểu. Công ty cho rằng quyền truy cập này là cần thiết cho dịch vụ khẩn cấp và chức năng hỗ trợ, mặc dù các nhà bảo vệ quyền riêng tư đặt câu hỏi về mức độ lưu trữ dữ liệu và đặc quyền truy cập.
 |
|---|
| Biển hiệu Subaru tượng trưng cho phản ứng của thương hiệu đối với lỗ hổng bảo mật và những lo ngại đang diễn ra về việc truy cập dữ liệu |
Tác động Rộng lớn đến Ngành Công nghiệp
Lỗ hổng bảo mật này là ví dụ điển hình cho xu hướng lớn hơn về các lỗ hổng bảo mật mạng trong ô tô. Khi xe cộ ngày càng kết nối nhiều hơn, chúng phải đối mặt với nguy cơ tấn công mạng ngày càng tăng có thể xâm phạm quyền riêng tư và an toàn của người dùng. Sự cố này là một hồi chuông cảnh tỉnh cho ngành công nghiệp ô tô để tăng cường các biện pháp bảo mật mạng và đánh giá lại cách tiếp cận về bảo vệ dữ liệu và kiểm soát truy cập.