Una falla nel portale delle case automobilistiche potrebbe consentire agli hacker di sbloccare le auto e rubare dati

Una vulnerabilità di sicurezza nel portale online di un'importante casa automobilistica ha esposto i dati dei clienti e avrebbe potuto consentire agli hacker di sbloccare i veicoli da remoto. Scopri di più su questo "incubo della sicurezza" e ottieni consigli per proteggere la tua auto dal tracciamento.

È stata scoperta una nuova vulnerabilità di sicurezza nel sistema online di un'importante casa automobilistica, che espone i dati dei clienti e potenzialmente consente l'accesso remoto ai veicoli. La falla è stata individuata dal ricercatore di sicurezza Eaton Zveare, che ha comunicato le sue scoperte all'azienda, che ha risolto il problema nel febbraio 2025. Zveare non ha reso pubblico il nome della casa automobilistica, ma ha affermato che si tratta di un marchio noto con oltre 1.000 concessionarie negli Stati Uniti .

Per vostra informazione, Zveare è nota per l'identificazione di vulnerabilità critiche nei dispositivi IoT. Ad esempio, i loro risultati di giugno 2022 hanno rivelato una vulnerabilità in un'app per jacuzzi intelligente che potrebbe essere sfruttata da un aggressore remoto per estrarre dati di utenti ignari.

La vulnerabilità è stata individuata in un portale online utilizzato dalle concessionarie della casa automobilistica. Zveare ha scoperto un modo per aggirare la sicurezza di accesso modificando il codice del portale, il che gli ha permesso di creare un nuovo account di "amministratore nazionale". Questo gli ha consentito di accedere "senza restrizioni" alle informazioni private di migliaia di clienti, inclusi dati personali, dettagli finanziari e informazioni sui veicoli.

Utilizzando il numero di identificazione univoco ( VIN ) di un veicolo, visibile sul parabrezza, un hacker potrebbe risalire al nome del proprietario. Ancora più allarmante, la falla consentiva a un hacker di controllare da remoto alcune funzioni dell'auto, come l'apertura delle portiere, semplicemente conoscendo il nome del cliente o il VIN. Sebbene Zveare non abbia testato la possibilità di portare via le auto, la vulnerabilità potrebbe essere facilmente sfruttata dai ladri.

Il portale della concessionaria, inoltre, non si limitava a fornire informazioni sui clienti. Con il suo nuovo accesso amministrativo, Zveare poteva visualizzare i dati finanziari di tutte le concessionarie e persino tracciare in tempo reale la posizione delle auto a noleggio o di cortesia. Ha sottolineato che le falle di sicurezza rappresentavano un "incubo incombente" a causa della possibilità di impersonare altri utenti e accedere a sistemi diversi.

L'azienda di sicurezza informatica Malwarebytes ha espresso il suo parere sulla questione, affermando che questo è il tipo di vulnerabilità che rende più facile tracciare e perseguitare gli altri. Zveare, che ha presentato le sue scoperte alla conferenza sulla sicurezza Defcon, afferma che l'azienda ha impiegato circa una settimana per risolvere i bug dopo la loro segnalazione.

Ha dichiarato a TechCrunch che il problema principale è dovuto a semplici difetti di autenticazione, affermando: "Se sbagli, allora tutto crolla".

Per chi è preoccupato per la sicurezza della propria auto, ecco alcuni semplici consigli per prevenire il tracciamento indesiderato:

• Utilizza l'app di navigazione del tuo telefono (come Google Maps) anziché quella integrata nella tua auto.

• Non salvare destinazioni abituali nel sistema di navigazione dell'auto.

• Mantieni aggiornato il software della tua auto per assicurarti di disporre delle più recenti protezioni di sicurezza.

• Controlla le app di accesso remoto della tua auto per assicurarti che nessun dispositivo sconosciuto sia stato collegato al tuo account.