Un cercetător în domeniul securității a declarat că deficiențele portalului online al unui producător auto au expus informațiile private și datele vehiculelor clienților săi și ar fi putut permite hackerilor să pătrundă de la distanță în orice vehicul al acestora, relatează TechCrunch.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Eaton Zveare, care lucrează ca cercetător în domeniul securității la compania de livrare de software Harness, a afirmat pentru TechCrunch că vulnerabilitatea descoperită de el a permis crearea unui cont de administrator care oferea „acces nelimitat” la portalul web centralizat al producătorului auto, al cărui nume nu a fost dezvăluit.
Cu acest acces, un hacker rău intenționat ar fi putut vizualiza datele personale și financiare ale clienților producătorului auto, urmări vehiculele și înscrie clienții la funcții care permit proprietarilor – sau hackerilor – să controleze unele funcții ale mașinilor lor de oriunde.
Zveare a declarat că nu intenționează să dezvăluie numele furnizorului, dar a spus că este vorba de un producător auto cunoscut, cu mai multe sub-mărci populare.
Într-un interviu acordat TechCrunch înainte de discursul său de duminică la conferința de securitate Def Con din Las Vegas, Zveare a declarat că bug-urile au pus în evidență securitatea acestor sisteme ale dealerilor, care acordă angajaților și asociaților lor acces larg la informații despre clienți și vehicule.
Zveare, care a descoperit anterior bug-uri în sistemele clienților producătorilor de automobile și în sistemele de gestionare a vehiculelor, a descoperit defecțiunea la începutul acestui an, în cadrul unui proiect de weekend, a spus el pentru TechCrunch.
El a precizat că, deși defectele de securitate din sistemul de autentificare al portalului au fost dificil de descoperit, odată găsite, bug-urile i-au permis să ocolească complet mecanismul de autentificare, permițându-i să creeze un nou cont de „administrator național”.
Deficiențele erau problematice deoarece codul defectuos se încărca în browserul utilizatorului la deschiderea paginii de conectare a portalului, permițând utilizatorului – în acest caz, Zveare – să modifice codul pentru a ocoli verificările de securitate la conectare. Zveare a declarat pentru TechCrunch că producătorul auto nu a găsit dovezi de exploatare anterioară, ceea ce sugerează că el a fost primul care a descoperit-o și a raportat-o producătorului auto.
După conectare, contul oferea acces la peste 1.000 de dealeri ai producătorului auto din Statele Unite.
„Nimeni nu știe că te uiți în tăcere la toate datele acestor dealeri, la toate informațiile lor financiare, la toate informațiile lor private, la toate oportunitățile lor”, a spus Zveare.
Cercetătorul a afirmat că unul dintre lucrurile pe care le-a găsit în portalul dealerului a fost un instrument național de căutare a consumatorilor, care permitea utilizatorilor conectați la portal să caute datele vehiculului și ale șoferului respectivului producător auto.
Într-un exemplu real, Zveare a luat numărul de identificare unic al unui vehicul de pe parbrizul unei mașini dintr-o parcare publică și a folosit numărul pentru a identifica proprietarul mașinii. Zveare a declarat că instrumentul poate fi utilizat pentru a căuta o persoană folosind doar numele și prenumele clientului.
Cu acces la portal, Zveare a spus că era posibilă și asocierea oricărui vehicul cu un cont mobil, ceea ce permite clienților să controleze de la distanță unele funcții ale mașinii lor dintr-o aplicație, cum ar fi deblocarea mașinii.
El a încercat acest lucru într-un exemplu real, folosind contul unui prieten și cu acordul acestuia.
La transferul dreptului de proprietate către un cont controlat de Zveare, el a spus că portalul necesită doar o atestare că utilizatorul care efectuează transferul contului este legitim. „Pentru scopurile mele, am rugat un prieten să-mi permită să preiau mașina lui și am procedat astfel”, a zis el.
„Dar [portalul] ar putea face asta practic oricui, doar știind numele său – ceea ce mă sperie puțin – sau aș putea pur și simplu să caut o mașină în parcări”.
Zveare a spus că nu a testat dacă poate pleca cu mașina, dar a afirmat că această vulnerabilitate ar putea fi exploatată de hoți pentru a sparge mașinile și a fura obiecte din ele, de exemplu.
O altă problemă importantă legată de accesul la portalul acestui producător auto era că se putea accesa sistemele altor dealeri conectați la același portal prin autentificare unică, o funcție care permite utilizatorilor să se conecteze la mai multe sisteme sau aplicații cu un singur set de date de autentificare. Zveare a spus că sistemele producătorului auto pentru dealeri sunt toate interconectate, astfel încât este ușor să treci de la un sistem la altul.
Cu aceasta, a spus el, portalul avea și o funcție care permitea administratorilor, cum ar fi contul de utilizator pe care l-a creat, să „se dea drept” alți utilizatori, permițând efectiv accesul la alte sisteme ale dealerilor ca și cum ar fi fost acel utilizator, fără a avea nevoie de datele lor de conectare. Zveare a spus că acest lucru era similar cu o funcție găsită într-un portal al dealerilor Toyota descoperit în 2023.
„Sunt doar coșmaruri de securitate care așteaptă să se întâmple”, a spus Zveare, referindu-se la funcția de impersonare a utilizatorilor.
Odată intrat în portal, Zveare a găsit date personale identificabile ale clienților, unele informații financiare și sisteme care permiteau urmărirea în timp real a locației mașinilor de închiriat, precum și a mașinilor transportate în toată țara, și opțiunea de a le anula – deși Zveare nu a încercat.
Cercetătorul a afirmat că remedierea erorilor a durat aproximativ o săptămână în februarie 2025, la scurt timp după ce le-a semnalat producătorului auto.
„Concluzia este că doar două vulnerabilități API simple au deschis larg ușile, iar acestea sunt întotdeauna legate de autentificare”, a declarat Zveare. „Dacă greșești în acest aspect, totul se prăbușește.”
