Imagem: Mark Hirsch/Bloomberg via Getty ImagesHacking. Desinformação. Vigilância. CYBER é o podcast da Motherboard e relata o lado sombrio da internet.Um par de bugs nos aplicativos e no site da John Deere pode ter permitido que hackers encontrassem e baixassem os dados pessoais de todos os proprietários de veículos e equipamentos agrícolas da empresa, de acordo com um pesquisador de segurança que encontrou as vulnerabilidades.
Não há evidências de que hackers exploraram essas falhas. O pesquisador, que passa Códigos de doença , relatou-os à John Deere em 12 e 13 de abril e a empresa corrigiu um dos bugs apenas três dias depois. A empresa corrigiu o segundo bug na quarta-feira, de acordo com o pesquisador.
Antes das correções, as vulnerabilidades, se exploradas, teriam exposto dados pessoais sobre os clientes da John Deere, incluindo seu endereço físico, de acordo com Sick Codes.
'Eu poderia baixar os dados de cada proprietário de cada trator John Deere no mundo', Sick Codes, que fez a pesquisa junto com Kevin Kenney e Willie Cade , disse à Motherboard em um telefonema. Em sua postagem no blog, no entanto, eles deixam claro que apenas equipamentos Deere com características técnicas específicas teriam aparecido; os 'dispositivos' agrícolas mais antigos da Deere tinham menos (ou nenhuma) informação sobre eles.
'O que quero dizer com 'dispositivos' é, na verdade, maquinário de um milhão de dólares que automatiza a agricultura por meio de direção automática por GPS e coisas assim', escreveram eles. No início, 'eu estava procurando tratores antigos. Eu estava enviando equipamentos de quase 30 anos para a API. Quais modelos teriam muita eletrônica e telemetria? Eu precisava procurar os modelos mais novos...'
Sick Codes explicou que, em equipamentos agrícolas mais recentes, ele conseguia ver o nome do veículo ou do proprietário do equipamento, seu endereço físico, o ID exclusivo do equipamento e seu número de identificação do veículo ou VENHA , o código de identificação de um carro específico.
'Como você acha que os agricultores se sentiriam sabendo que a John Deere estava vazando seu nome completo, nome da empresa, linha de endereço 1, linha de endereço 2, etc., ou quando a 'assinatura' começou para esse dispositivo?' Códigos Doentes disse. 'Como [John Deere] também não estava limitando a taxa dessas pesquisas de VIN, um invasor poderia facilmente ter pesquisado cada veículo [John Deere] em um dia ou dois, duplicando efetivamente todo o banco de dados.'
Sick Codes disse que poderia iterar e forçar todos os números VIN no banco de dados, pois eram 'sequenciais', segundo ele. Deere explicou que nem 'todos' os dispositivos foram afetados.
Um porta-voz da John Deere confirmou a existência das vulnerabilidades, mas minimizou seu impacto.
“Recentemente, fomos informados de duas configurações incorretas de código em aplicativos online separados”, disse o porta-voz em um e-mail. 'Investigamos imediatamente e as configurações incorretas foram corrigidas. Nenhuma das configurações incorretas permitiu o acesso a contas de clientes, contas de revendedores ou informações pessoais confidenciais.'
A Sick Codes disse que a alegação de que os bugs não expuseram informações do cliente é 'uma mentira'.
'Eu pude ver [Informações de Identificação Pessoal] confidenciais', disse ele em resposta à declaração da John Deere. O vídeo visualizado pela Motherboard mostra endereços específicos associados ao equipamento. 'O fato de eles estarem tentando me desacreditar só mostra o quão incompetentes eles são.'
Você faz engenharia reversa de aplicativos? Ou você faz algum outro tipo de pesquisa de segurança? Adoraríamos ouvir de você. Usando um telefone ou computador que não seja do trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal em +1 917 257 1382, lorenzofb no Wickr, chat OTR em lorenzofb@jabber.ccc.de ou e-mail lorenzofb@MediaMente.com
Um recente Artigo da Forbes vasculhou a história da John Deere – ou a falta dela – de vulnerabilidades de software.
'Uma coisa que a empresa não tem? Uma vulnerabilidade de software em qualquer um de seus produtos - pelo menos uma que a empresa divulgou ao público', escreveu o autor.
Isso não é mais o caso.
A Sick Codes disse que a primeira vulnerabilidade permitia que qualquer pessoa listasse todos os nomes de usuário no portal da Web da John Deere.
“Um invasor remoto não autenticado pode simplesmente remover o cookie da solicitação original e reproduzir um volume ilimitado de solicitações de disponibilidade de nome de usuário”, escreveu o pesquisador no relatório de vulnerabilidade, que ele compartilhou com a Motherboard. 'Um invasor remoto não autenticado pode enumerar facilmente o nome de usuário da conta de uma organização enviando permutações de um alvo, sem limite de taxa observável.'
A segunda falha poderia ser usada em conjunto com a primeira para enganar todos os proprietários da John Deere. A exploração aproveitou o aplicativo móvel John Deere Operations Center para Android e iOS, bem como em sua versão web correspondente.
Qualquer pessoa com um cookie de API, que poderia ser obtido apenas por se inscrever no aplicativo, que não exigia comprovação de possuir um veículo John Deere, poderia 'expor o nome do proprietário do veículo ou equipamento, endereço físico, GUID do equipamento (ID permanente do equipamento) e o status de se o Terminal é acessível remotamente por meio do protocolo RDA por meio da API do Número de Identificação do Veículo (VIN)', de acordo com o relatório de vulnerabilidade Códigos de Doenças enviado à John Deere.
A Sick Codes reclamou que o processo para divulgar essas vulnerabilidades era 'fraco', pois a John Deere demorou a responder.
Correção, 22 de abril, 13h22. ET : este artigo e o título foram corrigidos para esclarecer que nem 'todos' os proprietários de equipamentos John Deere foram potencialmente afetados por essas vulnerabilidades.
Assine nosso podcast de segurança cibernética, CYBER.