Un cercetător în securitate cibernetică a descoperit vulnerabilități majore în portalul online pentru dealeri al unui producător auto cunoscut, care ar fi putut permite accesul neautorizat la datele personale și ale vehiculelor clienților, precum și controlul de la distanță al unor funcții ale mașinilor.

Eaton Zveare, specialist în securitate la compania Harness, a declarat pentru TechCrunch că a reușit să creeze un cont de „administrator național” cu „acces nelimitat” la portal, ocolind complet mecanismele de autentificare. Acest lucru a fost posibil din cauza unor erori în codul sistemului de logare, care se încărca în browser la accesarea paginii și putea fi modificat pentru a trece peste verificările de securitate. „Dacă greșești la capitolul autentificare, totul se prăbușește”, a spus Zveare.

Cu acest nivel de acces, un atacator ar fi putut vizualiza datele personale și financiare ale clienților, localiza vehicule în timp real și înscrie utilizatori în funcții care permit controlul mașinii prin aplicații mobile, inclusiv descuierea de la distanță. Cercetătorul a precizat că nu a găsit dovezi privind exploatarea anterioară a vulnerabilității și că producătorul auto a remediat problemele în aproximativ o săptămână, în februarie 2025, după ce a fost informat.

Zveare a explicat că portalul oferea acces la peste 1.000 de dealeri din Statele Unite și includea un instrument național de căutare a consumatorilor. Acesta permitea identificarea unui vehicul și a proprietarului său pe baza numărului de identificare (VIN) sau chiar doar a numelui și prenumelui. Într-un test, el a luat un VIN de pe parbrizul unei mașini dintr-o parcare publică și a identificat proprietarul prin acest sistem.

De asemenea, portalul făcea posibilă asocierea oricărui vehicul cu un cont mobil, ceea ce oferea control asupra unor funcții de la distanță. Zveare a testat această opțiune cu acordul unui prieten, transferând controlul asupra vehiculului către propriul cont. Procedura necesita doar o simplă confirmare de legitimitate din partea utilizatorului, fără verificări suplimentare. „[Portalul] putea face asta cu oricine doar știindu-i numele — ceea ce mă cam sperie — sau puteam să caut o mașină dintr-o parcare”, a afirmat cercetătorul.

O altă problemă identificată era faptul că sistemul permitea accesarea altor platforme pentru dealeri prin autentificare unică (SSO), folosind aceleași date de conectare. Mai mult, conturile de administrator puteau „imita” alți utilizatori, preluând accesul la datele și funcțiile acestora fără a le cunoaște parolele.

Zveare a comparat această funcție cu o vulnerabilitate descoperită anterior într-un portal pentru dealeri Toyota. „Sunt adevărate coșmaruri de securitate care așteaptă să se întâmple”, a comentat el despre această opțiune de impersonare.

În interiorul portalului, Zveare a găsit și date cu caracter personal, informații financiare, precum și acces la sisteme telematice care permiteau urmărirea în timp real a mașinilor de închiriat sau a celor în tranzit.

Sistemul includea și opțiunea de anulare a deplasării vehiculelor, funcție pe care cercetătorul nu a testat-o.

Zveare a subliniat că vulnerabilitatea descoperită era rezultatul a „doar două simple erori de tip API” legate de autentificare, suficient pentru a compromite întregul sistem.

Potrivit acestuia, incidentul arată cât de critică este securitatea în platformele digitale ale producătorilor auto, având în vedere nivelul de acces pe care îl pot oferi aceste sisteme către datele și funcțiile vehiculelor.