ในยุคที่รถยนต์มีการเชื่อมต่อมากขึ้นเรื่อยๆ มีการค้นพบช่องโหว่ด้านความปลอดภัยที่สำคัญในระบบ Starlink ของ Subaru ซึ่งชี้ให้เห็นถึงความท้าทายด้านความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้นในเทคโนโลยียานยนต์สมัยใหม่ ช่องโหว่นี้ได้รับการแก้ไขแล้ว แต่ก่อนหน้านี้มันเปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงรถยนต์และข้อมูลส่วนตัวของผู้ใช้ได้โดยไม่ได้รับอนุญาต
การละเมิดความปลอดภัย
นักวิจัยด้านความปลอดภัย Sam Curry และ Shubham Shah ได้ค้นพบช่องโหว่ร้ายแรงในบริการ Starlink ของ Subaru ที่ส่งผลกระทบต่อรถยนต์ในสหรัฐอเมริกา แคนาดา และญี่ปุ่น การโจมตีนี้ต้องการข้อมูลเพียงเล็กน้อย - เพียงแค่นามสกุลของผู้ขับขี่ร่วมกับรหัสไปรษณีย์ อีเมล หมายเลขโทรศัพท์ หรือหมายเลขทะเบียนรถ ช่องโหว่นี้ทำให้สามารถเข้าถึงฟังก์ชันสำคัญของรถและข้อมูลผู้ใช้ได้โดยไม่ได้รับอนุญาต
พื้นที่ที่ได้รับผลกระทบ:
- United States
- Canada
- Japan
ขอบเขตการเข้าถึง
ช่องโหว่นี้ทำให้ผู้โจมตีสามารถควบคุมรถที่ได้รับผลกระทบได้อย่างไม่เคยมีมาก่อน รวมถึงการสตาร์ทและดับเครื่องยนต์จากระยะไกล ล็อคและปลดล็อคประตู และติดตามตำแหน่งแบบเรียลไทม์ ที่น่ากังวลยิ่งกว่าคือการเข้าถึงประวัติตำแหน่งโดยละเอียดย้อนหลังหนึ่งปีเต็ม ซึ่งแม่นยำถึงระดับตำแหน่งที่จอดรถ นอกจากนี้ยังสามารถเข้าถึงข้อมูลส่วนตัว เช่น ที่อยู่บ้าน รายละเอียดการชำระเงิน รายชื่อผู้ติดต่อฉุกเฉิน และประวัติการใช้รถ
ประเภทข้อมูลที่รั่วไหล:
- ตำแหน่งยานพาหนะแบบเรียลไทม์
- ประวัติตำแหน่งย้อนหลัง 1 ปี
- ฟังก์ชันควบคุมยานพาหนะ
- ข้อมูลส่วนบุคคล
- รายละเอียดการเรียกเก็บเงิน
- รายชื่อผู้ติดต่อฉุกเฉิน
- ประวัติการโทรติดต่อฝ่ายสนับสนุน
- ข้อมูลระยะทางการใช้งาน
- ข้อมูลเจ้าของคนก่อน
ช่องโหว่ทางเทคนิค
การละเมิดนี้เกิดจากจุดอ่อนในพอร์ทัลสำหรับพนักงานและระบบยืนยันตัวตนของ Subaru แม้ว่าการเข้าสู่ระบบ Starlink จะมีการป้องกันด้วยการยืนยันตัวตนสองชั้นและคำถามด้านความปลอดภัย แต่นักวิจัยพบว่าสามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยเหล่านี้ได้โดยเพียงแค่แก้ไขโค้ดเว็บไซต์ ข้อบกพร่องในการใช้งานนี้ทำให้ระบบป้องกันรหัสผ่านไร้ประสิทธิภาพ
การตอบสนองของ Subaru และข้อกังวลที่ยังคงมีอยู่
แม้ว่า Subaru จะตอบสนองอย่างรวดเร็วโดยแก้ไขช่องโหว่ภายใน 24 ชั่วโมงหลังจากได้รับแจ้ง แต่เหตุการณ์นี้ก็ยังสร้างคำถามที่สำคัญเกี่ยวกับการเข้าถึงข้อมูลภายในบริษัท พนักงานปัจจุบันของ Subaru ยังคงมีสิทธิ์เข้าถึงข้อมูลลูกค้าอย่างกว้างขวาง รวมถึงประวัติตำแหน่งและข้อมูลส่วนตัว โดยมีการกำกับดูแลเพียงเล็กน้อย บริษัทยืนยันว่าการเข้าถึงนี้จำเป็นสำหรับบริการฉุกเฉินและฟังก์ชันสนับสนุน แม้ว่านักเคลื่อนไหวด้านความเป็นส่วนตัวจะตั้งคำถามถึงขอบเขตการเก็บข้อมูลและสิทธิ์การเข้าถึง
 |
|---|
| ป้าย Subaru เป็นสัญลักษณ์แสดงถึงการตอบสนองของแบรนด์ต่อช่องโหว่ด้านความปลอดภัยและความกังวลที่ยังคงมีอยู่เกี่ยวกับการเข้าถึงข้อมูล |
ผลกระทบต่ออุตสาหกรรมในวงกว้าง
การละเมิดความปลอดภัยครั้งนี้แสดงให้เห็นถึงแนวโน้มที่ใหญ่ขึ้นของช่องโหว่ด้านความปลอดภัยทางไซเบอร์ในยานยนต์ เมื่อรถยนต์มีการเชื่อมต่อมากขึ้น พวกเขาก็เผชิญกับความเสี่ยงที่เพิ่มขึ้นจากการโจมตีทางไซเบอร์ที่อาจส่งผลต่อความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ เหตุการณ์นี้เป็นสัญญาณเตือนให้อุตสาหกรรมยานยนต์ต้องเสริมสร้างมาตรการรักษาความปลอดภัยทางไซเบอร์และทบทวนแนวทางในการปกป้องข้อมูลและควบคุมการเข้าถึง