Di era di mana kendaraan semakin terhubung, sebuah kerentanan keamanan yang signifikan telah ditemukan pada sistem Subaru Starlink , menunjukkan tantangan keamanan siber yang semakin meningkat dalam teknologi otomotif modern. Celah keamanan, yang kini telah diperbaiki, mengungkap kerentanan kritis yang dapat memungkinkan pihak jahat mendapatkan akses tidak sah ke kendaraan dan data pengguna yang sensitif.
Pelanggaran Keamanan
Peneliti keamanan Sam Curry dan Shubham Shah menemukan kerentanan serius dalam layanan kendaraan terhubung Subaru Starlink yang mempengaruhi mobil-mobil di Amerika Serikat, Kanada, dan Jepang. Eksploitasi ini hanya membutuhkan informasi minimal untuk dijalankan - hanya nama belakang pengemudi yang dikombinasikan dengan kode pos, alamat email, nomor telepon, atau nomor plat kendaraan. Kerentanan keamanan ini memungkinkan akses tidak sah ke fungsi-fungsi kritis kendaraan dan data pengguna yang sensitif.
Wilayah yang Terdampak:
- United States
- Canada
- Japan
Tingkat Akses
Kerentanan ini memberikan penyerang kendali yang belum pernah terjadi sebelumnya atas kendaraan yang terdampak, termasuk kemampuan untuk menghidupkan dan mematikan mesin dari jarak jauh, mengunci dan membuka kunci pintu, serta melacak lokasi secara real-time. Yang lebih mengkhawatirkan adalah akses ke riwayat lokasi detail selama setahun penuh, hingga ke lokasi tempat parkir yang akurat. Informasi pribadi termasuk alamat rumah, detail pembayaran, kontak darurat, dan riwayat kendaraan juga terekspos.
Jenis Data yang Terekspos:
- Lokasi kendaraan secara real-time
- Riwayat lokasi selama satu tahun
- Fungsi kontrol kendaraan
- Informasi pribadi
- Detail pembayaran
- Kontak darurat
- Riwayat panggilan dukungan
- Pembacaan odometer
- Informasi pemilik sebelumnya
Kerentanan Teknis
Pelanggaran ini berasal dari kelemahan pada portal karyawan dan sistem autentikasi Subaru . Meskipun login Starlink seharusnya dilindungi oleh autentikasi dua faktor dan pertanyaan keamanan, peneliti menemukan bahwa mereka dapat melewati langkah-langkah keamanan ini hanya dengan memodifikasi kode situs web. Kesalahan implementasi ini secara efektif meniadakan sistem perlindungan kata sandi.
Respons Subaru dan Kekhawatiran Berkelanjutan
Meskipun Subaru merespons dengan cepat dengan memperbaiki kerentanan dalam waktu 24 jam setelah pemberitahuan, insiden ini menimbulkan pertanyaan serius tentang akses data di dalam perusahaan. Karyawan Subaru saat ini memiliki akses luas ke informasi pelanggan, termasuk riwayat lokasi dan detail pribadi, dengan pengawasan minimal. Perusahaan menyatakan bahwa akses ini diperlukan untuk layanan darurat dan fungsi dukungan, meskipun para aktivis privasi mempertanyakan tingkat penyimpanan data dan hak akses.
 |
|---|
| Tanda Subaru melambangkan respons merek terhadap kerentanan keamanan dan kekhawatiran berkelanjutan mengenai akses data |
Implikasi Industri yang Lebih Luas
Pelanggaran keamanan ini mencontohkan tren yang lebih besar dalam kerentanan keamanan siber otomotif. Seiring kendaraan menjadi semakin terhubung, mereka menghadapi peningkatan risiko serangan siber yang dapat membahayakan privasi dan keselamatan pengguna. Insiden ini menjadi peringatan bagi industri otomotif untuk memperkuat langkah-langkah keamanan siber mereka dan mengevaluasi kembali pendekatan mereka terhadap perlindungan data dan kontrol akses.