Curry dan Shah melaporkan temuan mereka kepada Subaru pada akhir November, dan Subaru dengan cepat memperbaiki kerentanannya dalam keamanan Starlinknya. Tetapi para peneliti memperingatkan bahwa kerentanan web Subaru hanyalah yang terbaru dalam serangkaian kerentanan serupa yang mereka dan peneliti keamanan lain yang bekerja dengan mereka telah temukan yang telah mempengaruhi lebih dari selusin produsen mobil, termasuk Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota, dan banyak lainnya. Mereka berkata, tidak diragukan lagi, bahwa bug yang dapat di-hack dengan serius juga ada dalam alat web perusahaan mobil lain yang belum ditemukan.
Dalam kasus Subaru, khususnya, mereka juga menunjukkan bahwa penemuan mereka mengisyaratkan seberapa meresahnya orang-orang yang memiliki akses ke portal Subaru dapat melacak pergerakan pelanggan, masalah privasi yang akan bertahan lebih lama daripada kerentanan web yang mengungkapkannya. “Masalahnya adalah, meskipun ini sudah diperbaiki, fungsionalitas ini masih akan ada untuk karyawan Subaru,” kata Curry. “Ini hanya fungsionalitas normal yang memungkinkan seorang karyawan mengetahui riwayat lokasi Anda selama setahun.”
Ketika WIRED menghubungi Subaru untuk memberikan komentar tentang temuan Curry dan Shah, juru bicara merespon dalam sebuah pernyataan bahwa “setelah diberitahu oleh peneliti keamanan independen, [Subaru] menemukan kerentanan dalam layanan Starlink-nya yang berpotensi memungkinkan pihak ketiga untuk mengakses akun Starlink. Kerentanan tersebut langsung ditutup dan tidak ada informasi pelanggan yang pernah diakses tanpa izin.”
Juru bicara Subaru juga mengkonfirmasi kepada WIRED bahwa “ada karyawan di Subaru of America, berdasarkan relevansi pekerjaan mereka, yang dapat mengakses data lokasi.” Perusahaan menawarkan contoh bahwa karyawan memiliki akses tersebut untuk membagikan lokasi kendaraan kepada petugas pertama dalam kasus terdeteksi adanya tabrakan. “Semua individu ini menerima pelatihan yang tepat dan diwajibkan untuk menandatangani perjanjian privasi, keamanan, dan NDA yang sesuai sesuai kebutuhan,” tambah pernyataan Subaru. “Sistem ini memiliki solusi pemantauan keamanan yang terus berkembang untuk memenuhi ancaman siber modern.”
Menanggapi contoh Subaru tentang memberi tahu petugas pertama tentang tabrakan, Curry mencatat bahwa hal itu hampir tidak memerlukan riwayat lokasi selama setahun. Perusahaan tidak merespon WIRED saat ditanya sejauh mana mereka menyimpan riwayat lokasi pelanggan dan membuatnya tersedia bagi karyawan.
Penelitian Shah dan Curry yang mengarah pada penemuan kerentanan Subaru dimulai ketika mereka menemukan bahwa aplikasi Starlink ibu Curry terhubung ke domain SubaruCS.com, yang mereka sadari merupakan domain administratif untuk karyawan. Menelusuri situs tersebut untuk mencari kerentanan keamanan, mereka menemukan bahwa mereka dapat mereset kata sandi karyawan hanya dengan menebak alamat email mereka, yang memberi mereka kemampuan untuk mengambil alih akun karyawan siapa pun yang alamat emailnya bisa mereka temukan. Fungsionalitas reset kata sandi meminta jawaban untuk dua pertanyaan keamanan, tetapi mereka menemukan bahwa jawaban tersebut diperiksa dengan kode yang berjalan secara lokal di browser pengguna, bukan di server Subaru, memungkinkan perlindungan itu dengan mudah dilewati. “Ada benar-benar beberapa kegagalan sistemik yang menyebabkan ini,” kata Shah.
Dua peneliti mengatakan mereka menemukan alamat email untuk seorang pengembang Subaru Starlink di LinkedIn, mengambil alih akun karyawan tersebut, dan segera menemukan bahwa mereka dapat menggunakan akses staf tersebut untuk mencari pemilik Subaru dengan nama belakang, kode pos, alamat email, nomor telepon, atau plat nomor untuk mengakses konfigurasi Starlink mereka. Dalam hitungan detik, mereka kemudian dapat menetapkan kembali kontrol fitur Starlink kendaraan pengguna tersebut, termasuk kemampuan untuk membuka kunci mobil secara remote, menyalakan klaksonnya, menyalakan mesinnya, atau melacaknya, seperti yang ditunjukkan dalam video di bawah ini.