Uma séria vulnerabilidade de segurança foi descoberta no sistema Starlink da Subaru no final do ano passado. A falha permitia acesso total a dados privados, incluindo localização, contatos de emergência e histórico de chamadas. Embora a Subaru tenha corrigido a vulnerabilidade em 24 horas, o incidente levanta preocupações sobre a privacidade em veículos conectados.
Pesquisadores revelaram que a tecnologia Starlink da Subaru continha uma falha que permitia o acesso a informações sensíveis. Sam Curry, um pesquisador de segurança conhecido por outras invasões de veículos, descobriu a vulnerabilidade ao testar o Subaru Impreza 2023 de sua mãe. O problema permitiu que Curry e sua equipe acessassem o histórico completo de localização do veículo, ao longo de um ano.
Segundo Curry, em entrevista à Wired, a informação era tão detalhada que foi possível identificar visitas ao médico, casas de amigos e até o local de estacionamento utilizado na igreja. “É possível recuperar pelo menos um ano de histórico de localização do carro, com marcações precisas, às vezes várias vezes ao dia”, afirmou Curry. “Seja para verificar uma traição conjugal ou uma clínica de aborto, há inúmeros cenários onde esses dados poderiam ser usados de forma maliciosa”.
Mas a situação era ainda mais grave. Curry e o também pesquisador Shubham Shah encontraram fragilidades em um site da Subaru para funcionários, o que possibilitou que eles assumissem o controle da conta de um colaborador. Com isso, conseguiram controlar remotamente funções do Starlink e acessar dados pessoais como nome, contatos de emergência, endereço residencial e o PIN do veículo. Os pesquisadores ainda conseguiram destravar as portas, ligar o carro e acessar o histórico de chamadas.
Acesso facilitado por falhas no sistema
Para realizar a invasão, os hackers utilizaram o sobrenome da vítima, placa do carro, CEP, número de telefone ou e-mail. Essas informações eram inseridas em um site destinado a funcionários da Subaru para ajudar usuários do Starlink. O acesso ao site ocorreu por meio de uma série de explorações de falhas de segurança no próprio site.
A Subaru agiu rapidamente e corrigiu a falha em menos de 24 horas após ser notificada. A empresa foi alertada às 23h54 do dia 20 de novembro, e às 16h do dia 21 a vulnerabilidade já não podia ser explorada.
A questão da privacidade dos dados
O caso levanta um debate sobre a privacidade de dados. Sam Curry salienta em seu site que muitos têm acesso a esses dados, incluindo funcionários. “A indústria automobilística é única nesse sentido, pois um funcionário de 18 anos do Texas pode consultar as informações de cobrança de um veículo na Califórnia, sem que isso soe como um alerta”, escreveu Curry. “Isso faz parte do trabalho deles no dia a dia. Todos os funcionários têm acesso a muitas informações pessoais, e tudo se baseia na confiança”.
Robert Herrell, diretor executivo da Consumer Federation of California, compartilha da mesma preocupação: “Parece que há muitos funcionários na Subaru com uma quantidade assustadora de informações detalhadas. As pessoas estão sendo rastreadas de maneiras que elas não imaginam”.
Essa vulnerabilidade e o acesso aos dados parecem ser um problema de toda a indústria. Atualmente, a única solução é optar por não permitir a coleta de dados ao comprar um carro conectado, mesmo que isso signifique a perda de algumas funcionalidades.
