Jak można było poznać lokalizację samochodu znając tylko numer rejestracji? Jednym requestem HTTP…

Usługi dające niższe ubezpieczenie samochodowe w zamian za konieczność instalacji urządzenia monitorującego w samochodzie – to już znamy. Czy tego typu systemy zrealizowane są bezpiecznie?

Np. we Włoszech – niekoniecznie. Jeden z badaczy pokazał, że odpowiednim requestem HTTP do webserwisu można było pobrać ostatnie 20 lokalizacji samochodu o danym numerze na tablicy rejestracyjnej:

curl -X POST -d 'ASS_NEW§<car_license>§2§-1' 
http://<domain>/BICServices/BICService.svc/restpostlastnpositions<company>

Dla pewności – nie wymagało to uwierzytelnienia:

WTH?!? No header?!? No cookie?!? No authentication parameters?!?
Yes, your assumption is right: you just need a car license and you get its last 20 positions.

Jest i kolejna komunikacja dająca takie dane jak: Imię/Nazwisko właściciela samochodu, model auta, liczba przejechanych kilometrów, koordynaty / daty kolejnych podróży, itp. A wszystko – podobnie jak wcześniej znając jedynie numer rejestracyjny „ofiary”:

Szczegóły związane z pojazdem – ofiarą

Ile zajęło łatanie? 3 tygodnie… ;-)

–ms