黑客表示：我绝对可以在世界范围内制造大型交通事件。

一名黑客入侵了两个GPS跟踪程序关联的数千个账户，使他能够监控数万辆汽车所在的位置，甚至能够在其中一些汽车行驶时关掉其引擎。

这位名为L&M的黑客入侵了7000多个iTrack账户和20000多个ProTrack账户。企业通过这两个应用程序提供GPS服务，监控和管理车辆。黑客能够通过应用程序追踪世界上少数几个国家的车辆，包括南非、摩洛哥、印度和菲律宾。根据某些GPS跟踪设备制造商的说法，通过该软件能够远程关闭一部分处在停车状态或以每小时12英里或更慢速度行驶的汽车的发动机。

通过逆向工程ProTrack和iTrack的Android应用程序，L&M发现所有用户在注册时都会得到一个默认密码——123456。

那时，这名黑客通过应用程序的API暴力获取了 “数百万用户名”。然后，他编写了一个脚本，试图使用这些用户名和默认密码登录。最终实现自动入侵数千个使用默认密码的账户，并从中获取数据。

根据L&M共享的用户数据样本显示，黑客窃取了ProTrack和iTrack用户的宝贵信息，包括：他们使用的GPS跟踪设备的名称和型号、设备的唯一ID号 (技术上称为IMEI号)；用户名、真实姓名、电话号码、电子邮件地址和现实地址 (根据L&M的说法，他无法获取所有用户的信息；对于某些用户，他只能获得到上面提到的一部分信息)。

通过与四位用户（这四位用户在L&M的样本中）进行交谈后发发现，确认了用户的数据被泄露过，即黑客提供的数据是真实的。

L&M在一次在线聊天中表示：

我的目标是企业，而不是用户。因为这家公司，用户正在面临风险。他们需要赚钱，但不想保护自己的客户。

黑客提供的被入侵账户的截图

L&M还声称，他能做到的远不止监控用户车辆这么简单。

我绝对可以在世界范围内制造大型交通事件。我已经对成千上万辆汽车实现了全权控制，只要一个手指，我就能让这些汽车的引擎停止工作。

尽管如此，该黑客表示他从未破坏过任何汽车的引擎，因为那样太危险了。虽然黑客没有证明他能够关掉汽车发动机，但Concox的代表，一些ProTrack GPS和iTrack用户使用的一个GPS跟踪设备的硬件制造商，表示黑客仍然可以远程关闭引擎，如果车辆行驶速度在每小时20公里以下(约12英里每小时)。

黑客提供的截图显示，这些应用程序拥有“停止引擎”的功能。

Rahim Luqmaan，Probotik Systems的所有人（南非一家使用ProTrack的公司）表示通过ProTrack关闭引擎是有可能的，如果技术人员在安装跟踪设备时启用了这项功能。

这就更加危险了。他实际上可以随意操纵……我们的用户。

ProTrack由总部位于中国深圳的比图科技公司制造。iTrack由总部位于中国广州的斯沃德科技公司生产。iTryBrand和SEEWORLD都对经销商销售硬件跟踪设备和云平台，以便他们能够直接管理这些设备。而这些经销商则对用户销售硬件和服务。L&M声称他也入侵了一些经销商的账户，这样他就可以监控车辆并控制客户的账户。

在Google Play的应用程序页面上，iTrack挂出了一个免费试用帐户为自己打广告，用户名为 “demo”，密码为 “123456”。ProTrack在其网站上为潜在客户提供免费试用版本。随后，当测试人员尝试试用免费版本时，网站弹出一个修改密码的提示，因为“默认密码太简单了”。上周，当测试人员进行第一次试用时，这个消息没有出现。此外，ProTrack的API在其文档中还提到了默认密码 “123456”。

从两个应用程序的用户界面来看，ProTrack和iTrack共享相同的底层代码。

L&M表示，ProTrack已经通过应用程序和电子邮件联系客户，要求他们在本周更改他们的密码，但目前还没有强制用户重置密码。

ProTrack通过电子邮件否认了这一数据泄露事件，但确认了他们正在联系用户修改密码。

我们的系统工作地很好，修改密码是保护账户安全的正常手段，就像其他系统做的一样，这有什么问题吗? 而且你为什么要联系我们的客户，让他们收到这种无聊的邮件。为什么黑客要联系你？

而iTrack没有立即回复关于通过电子邮件发送的评论请求的问题。

L&M表示他联系了这些公司进行邀功。在ProTrack回复他的截图中，一名公司代表要求黑客提供一个“低价格”报价。

如果我们付钱给你，你会把工具交给我们，不再黑我们的账户吗? 我们怎么才能确定呢？很抱歉问了这么多问题，这是我们第一次发生这种事故。

这名黑客拒绝透露他与该公司的更多联系。但他说他已经得到了他想要的。

他们在我进行攻击之后发出了警告，这对我来说是成功的。迫使他们注意安全。他们现在知道他们的客户面临风险，所以他们把重点放在如何确保他们的服务安全上。