Luka w portalu producenta samochodów może umożliwić hakerom odblokowanie samochodów i kradzież danych

Luka w zabezpieczeniach portalu internetowego dużego producenta samochodów ujawniła dane klientów i mogła umożliwić hakerom zdalne odblokowanie pojazdów. Przeczytaj o „koszmaru bezpieczeństwa” i uzyskaj wskazówki, jak chronić swój samochód przed śledzeniem.

Odkryto nową lukę w zabezpieczeniach systemu online dużego producenta samochodów, która ujawnia dane klientów i potencjalnie umożliwia zdalny dostęp do pojazdów. Lukę odkrył badacz ds. bezpieczeństwa Eaton Zveare, który poinformował o swoich odkryciach firmę, co doprowadziło do jej rozwiązania w lutym 2025 roku. Zveare nie ujawnił publicznie nazwy producenta samochodów, ale stwierdził, że jest to znana marka z ponad 1000 salonów dealerskich w Stanach Zjednoczonych .

Dla Państwa informacji, firma Zveare znana jest z identyfikowania krytycznych luk w zabezpieczeniach urządzeń IoT. Na przykład, ich odkrycia z czerwca 2022 roku ujawniły lukę w zabezpieczeniach aplikacji inteligentnego jacuzzi, która mogła zostać wykorzystana przez zdalnego atakującego do wykradnięcia danych niczego niepodejrzewającego użytkownika.

Luka została odkryta w portalu internetowym używanym przez dealerów producenta samochodów. Zveare odkrył sposób na obejście zabezpieczeń logowania poprzez modyfikację kodu portalu, co pozwoliło mu utworzyć nowe konto „administratora krajowego”. Dało mu to „nieograniczony dostęp” do prywatnych informacji tysięcy klientów, w tym danych osobowych, danych finansowych i informacji o pojazdach.

Wykorzystując unikalny numer identyfikacyjny pojazdu ( VIN ), widoczny na przedniej szybie, haker mógł sprawdzić nazwisko właściciela. Co jeszcze bardziej alarmujące, luka umożliwiała hakerowi zdalne sterowanie niektórymi funkcjami samochodu, takimi jak odblokowywanie drzwi, znając jedynie nazwisko klienta lub numer VIN. Chociaż Zveare nie testował możliwości odjechania samochodami, luka ta mogła zostać łatwo wykorzystana przez złodziei.

Portal dealerski ujawnił nie tylko informacje o klientach. Dzięki nowym uprawnieniom administratora, Zveare mógł przeglądać dane finansowe ze wszystkich salonów, a nawet śledzić na bieżąco lokalizację samochodów wynajętych lub zastępczych. Zauważył, że luki w zabezpieczeniach to „koszmar bezpieczeństwa, który może się wydarzyć” ze względu na możliwość podszywania się pod innych użytkowników i uzyskiwania dostępu do różnych systemów.

Firma zajmująca się cyberbezpieczeństwem, Malwarebytes, wypowiedziała się na ten temat, twierdząc , że jest to rodzaj luki w zabezpieczeniach, która ułatwia śledzenie i nękanie innych. Zveare, który przedstawił swoje odkrycia na konferencji bezpieczeństwa Defcon, mówi, że naprawa błędów zajęła firmie około tygodnia od momentu ich ujawnienia.

W wywiadzie dla TechCrunch powiedział , że główny problem sprowadza się do prostych błędów w uwierzytelnianiu, stwierdzając, że „jeśli będziesz się mylił w tych kwestiach, to wszystko się po prostu zawali”.

Dla osób, które martwią się o bezpieczeństwo swojego samochodu, przygotowaliśmy kilka prostych wskazówek, które pomogą zapobiec niechcianemu śledzeniu:

• Korzystaj z aplikacji nawigacyjnej w telefonie (np. Google Maps), a nie z tej wbudowanej w samochód.

• Nie zapisuj stałych celów podróży w systemie nawigacyjnym samochodu.

• Aktualizuj oprogramowanie swojego samochodu, aby mieć pewność, że korzystasz z najnowszych zabezpieczeń.

• Sprawdź aplikacje umożliwiające zdalny dostęp do Twojego samochodu, aby upewnić się, że z Twoim kontem nie powiązano żadnych nieznanych urządzeń.