Badacz bezpieczeństwa odkrył w systemie internetowej sprzedaży samochodów pewnej marki luki, które narażały dane klientów oraz dane pojazdów. Dzięki błędom cyberprzestępcy mieli możliwość nawet przejęcia kontroli nad funkcjami pojazdów. Eaton Zveare, badacz bezpieczeństwa pracujący dla firmy Harness, w rozmowie z TechCrunch opisał, jak odkrył lukę, która umożliwiła stworzenie konta administratora i dostęp do centralnego portalu producenta samochodów.
W praktyce przestępca mógł zobaczyć dane osobowe i finansowe klientów, śledzić pojazdy oraz aktywować funkcje pojazdów. Zveare zaznaczył, iż nie zamierza ujawniać nazwy producenta, ale mówił, że firma ta jest szeroko znana i posiada kilka popularnych marek.
Groźna dziura w zabezpieczeniach producenta samochodów
Podczas rozmowy z TechCrunch przed swoją prezentacją na konferencji Def Con w Las Vegas, Zveare zwrócił uwagę na problemy związane z bezpieczeństwem systemów sprzedaży, które dają pracownikom szeroki dostęp do danych klientów i pojazdów.

Zveare tłumaczył, że chociaż znalezienie luki w systemie logowania było trudne, to pozwalała ona na całkowite obejście mechanizmów zabezpieczeń, umożliwiając stworzenie nowego konta "admina". Luki w kodzie powodowały, że po otwarciu strony logowania portalu, użytkownik mógł zmodyfikować kod i ominąć zabezpieczenia. Producent nie znalazł dowodów na wcześniejsze wykorzystanie tej luki.
Po zalogowaniu się na konto administratora, Zveare uzyskał dostęp do ponad 1000 dealerów w Stanach Zjednoczonych. Opisał to jako możliwość "cichego" podglądania danych dealerów, ich finansów oraz informacji prywatnych.
Zveare zauważył również, że na portalu znajdowało się narzędzie do wyszukiwania danych konsumentów, które pozwalało na sprawdzenie danych pojazdu i właściciela. Badacz wykorzystał numer VIN z samochodu zaparkowanego na publicznym parkingu, aby zidentyfikować właściciela pojazdu. Narzędzie to mogło pozwolić na wyszukiwanie osób za pomocą tylko ich imienia i nazwiska.
Luka pozwalała na zdalne sterowanie funkcjami pojazdu
Mając dostęp do portalu, Zveare odkrył także, że możliwe było przypisanie dowolnego pojazdu do konta mobilnego, co umożliwiało zdalne sterowanie funkcjami samochodu, jak np. odblokowanie drzwi. Zveare przetestował to na koncie swojego przyjaciela, za jego zgodą.
Zveare wskazał, że serwis wymaga jedynie deklaracji, że użytkownik jest uprawniony do transferu danych konta, co jego zdaniem stanowi poważne zagrożenie, ponieważ wystarczy znać imię i nazwisko właściciela samochodu.
Badacz nie sprawdzał, czy można uruchomić pojazd, ale zauważył, że luka mogła zostać wykorzystana przez złodziei do kradzieży pojazdów.
Luki w zabezpieczeniach zostały wyeliminowane w lutym 2025, jednak ze względów bezpieczeństwa informacja do mediów trafiła dopiero teraz.

Pokaż / Dodaj komentarze do: Przestępcy mogli zdalnie otwierać samochody. Fatalny błąd w zabezpieczeniach