Security statement one2track regarding disclosure 'Trackmageddon' (2 januari 2018)
Our clients ease of user experiences and security are most important to us, which we are continuously improving.
Inspired by the rapport of the "Norwegian consumercounsil" in October 2017, we proactively checked for similar security vulnerabilities in our own devices.
As a result we took immediate actions to further improve the security as published here and 17th November acquired the support of a Cyber Security Company,
to become "best in class" regarding the Cyber Security of our products and services.
On the 24th of November one2track received a message from Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. (Michael & Vangelis both security researchers) about some technical vulnerability's in the softwarepackage that is also been used by one2track in its online GPS platform www.one2trackGPS.com. By exploiting these vulnerability's, a technical hacker could retrieve the IMEI number, location, devicetype name and gsm number of our watches, but as far as we can tell the client remains fully anonymous and no abuse of this vulnerablility's have been taken place.
Together with our hired professional Security Officer, our vendor and the security researchers we fixed them on the 27th of November, which was confirmed by Michael. In parallel we are executing our Security roadmap 2018 (For example in 2018, we will migrate all our data to new High Secure Servers in the Netherlands), where we go the extra mile to keep our Service to you at the Highest level and Security.
Acknowledgement:
We where very happy to be notified by Michael & Vangelis about the vulnerabilities they found and like to thank and comment both of them for their excellent work and collaboration to getting as much issues solved as soon as possible, for all vulnerable end-users out there.
We feel sorry for the other end-user, who are impacted by these vulnerability and are "stuck" with a vulnerable service provider who does not fix or respond. To offer a possible solution, we are investigate the feasibility for the European end-users to be migrated to the One2Track.nl secured Service.
Security statement one2track met betrekking tot bericht 'Trackmageddon' (2 januari 2018)
Gebruikersgemak en databeveiliging heeft een hoge prioriteit bij ons. Wij werken er dan ook hard aan om dit doorlopend te verbeteren.
Op basis van het rapport van de Noorse consumentenbond in oktober 2017 zijn wij proactief aan de slag gegaan om gelijkende kwetsbaarheden te zoeken in onze eigen systemen. Op basis van deze uitkomsten hebben wij direct verbeteringen doorgevoerd (zie nieuwsbericht 31 oktober). Ook zijn wij op 17 november een partnerschap aangegaan met een gespecialiseerd databeveiligingsbedrijf 'CyberGuard International'. Ons doel? De beste en meest veilige aanbieder van GPS horloges in de markt te worden.
Nog voordat wij een volledige audit konden doen op onze systemen, werden wij op 24 november geinformeerd door Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. (Michael & Vangelis beide security researchers) dat er een mogelijk beveiligingslek aanwezig zou zijn in het softwarepakket dat ook in ons one2track GPS platform www.one2trackGPS.com wordt gebruikt. Via dit beveiligingslek zou het voor een ervaren hacker mogelijk kunnen zijn om gegevens zoals het IMEI nummer, de locatie, horloge model en GSM nummers van horloges te achterhalen. Echter voor zover wij hebben kunnen beoordelen is het niet mogelijk om deze gegevens ook daadwerkelijk aan een natuurlijk persoon te verbinden, daarnaast hebben wij geen aanwijzingen gevonden dat deze inbraak ook daadwerkelijk heeft plaatsgevonden.
Samen met CyberGuard International, onze fabrikant en de security researchers hebben wij binnen 48 uur na de melding van het beveiligingslek de software aangepast en de kwetsbaarheden opgelost. Voor de zekerheid hebben wij ook een melding gedaan bij de Autoriteit Persoonsgegevens met daarbij het technische probleem en de toegepaste oplossing.
Uiteraard gaan wij door met de uitrol van onze Security Roadmap 2018 waarin oa op korte termijn de complete verhuizing van onze cloudserver klantdatabases naar een Highsecure serveromgeving in Nederland staat gepland.
Noot:
Via deze weg willen wij Michael & Vangelis bedanken voor het melden van het potentiele beveiligingslek en het auditen van de oplossingen die wij hebben toegepast in onze software. Samen met Michael en Vangelis hebben wij geprobeerd om aanbieders die gebruik maken van hetzelfde softwarepakket te bereiken. Helaas is dit slechts bij een beperkt aantal aanbieders gelukt. Voor iedereen die zijn GPS product niet bij one2track heeft gekocht en nu dus gebruik maakt van een onbeveiligd GPS platform, zijn wij bezig om te onderzoeken of wij deze klanten (binnen de EU) de mogelijkheid kunnen geven om over te stappen naar de systemen van one2track.