Falha no portal da montadora pode permitir que hackers desbloqueiem carros e roubem dados

Uma vulnerabilidade de segurança no portal online de uma grande montadora expôs dados de clientes e pode ter permitido que hackers destrancassem veículos remotamente. Leia sobre o "pesadelo da segurança" e obtenha dicas para proteger seu carro contra rastreamento.

Uma nova vulnerabilidade de segurança no sistema online de uma grande montadora foi descoberta, expondo dados de clientes e potencialmente permitindo acesso remoto aos veículos. A falha foi descoberta pelo pesquisador de segurança Eaton Zveare, que relatou suas descobertas à empresa, o que levou a uma correção em fevereiro de 2025. Zveare não divulgou o nome da montadora, mas afirmou que se trata de uma marca conhecida com mais de 1.000 concessionárias nos Estados Unidos .

Para sua informação, a Zveare é conhecida por identificar vulnerabilidades críticas em dispositivos de IoT. Por exemplo, suas descobertas de junho de 2022 revelaram uma vulnerabilidade em um aplicativo de jacuzzi inteligente que poderia ser explorada por um invasor remoto para extrair dados de usuários desavisados.

A vulnerabilidade foi encontrada em um portal online usado pelas concessionárias da montadora. Zveare descobriu uma maneira de burlar a segurança de login modificando o código do portal, o que lhe permitiu criar uma nova conta de "administrador nacional". Isso lhe deu "acesso irrestrito" às informações privadas de milhares de clientes, incluindo dados pessoais, dados financeiros e informações sobre veículos.

Usando o número de identificação único ( VIN ) de um veículo, visível no para-brisa, um hacker conseguia descobrir o nome do proprietário. Ainda mais alarmante, a falha permitia que um hacker controlasse remotamente certas funções do carro, como destravar as portas, simplesmente sabendo o nome do cliente ou o VIN. Embora a Zveare não tenha testado se era possível roubar os carros, a vulnerabilidade poderia ser facilmente explorada por ladrões.

O portal da concessionária também expôs mais do que apenas informações dos clientes. Com seu novo acesso de administrador, Zveare pôde visualizar dados financeiros de todas as concessionárias e até mesmo rastrear a localização em tempo real de carros alugados ou de cortesia. Ele observou que as falhas de segurança eram um "pesadelo de segurança prestes a acontecer", devido à possibilidade de se passar por outros usuários e acessar diferentes sistemas.

A empresa de segurança cibernética Malwarebytes se pronunciou sobre o assunto, afirmando que esse é o tipo de vulnerabilidade que facilita o rastreamento e a perseguição de outras pessoas. Zveare, que apresentou suas descobertas na conferência de segurança Defcon, afirma que a empresa levou cerca de uma semana para corrigir os bugs após sua divulgação.

Ele disse ao TechCrunch que o problema principal se resumia a falhas simples de autenticação, dizendo: "Se você errar essas coisas, tudo vai por água abaixo".

Para pessoas preocupadas com a segurança de seus carros, aqui estão algumas dicas simples para ajudar a evitar rastreamento indesejado:

• Use o aplicativo de navegação do seu telefone (como o Google Maps) em vez daquele integrado ao seu carro.

• Não salve destinos regulares no sistema de navegação do carro.

• Mantenha o software do seu carro atualizado para garantir que você tenha as proteções de segurança mais recentes.

• Verifique os aplicativos de acesso remoto do seu carro para garantir que nenhum dispositivo desconhecido tenha sido vinculado à sua conta.