Дослідник з кібербезпеки повідомив, що помилки в онлайн-порталі для дилерів одного відомого автовиробника призводили до витоку персональних даних і технічної інформації про автомобілі клієнтів, а також потенційно дозволяли зловмисникам дистанційно відчиняти машини.
Ітон Звеаре, фахівець компанії Harness, розповів TechCrunch, що виявлена ним уразливість дозволяла створити обліковий запис адміністратора з необмеженим доступом до централізованого порталу виробника.
З таким доступом зловмисник міг переглядати персональні та фінансові дані клієнтів, відстежувати автомобілі, а також підключати функції, які дозволяють власникам (або хакерам) керувати деякими функціями авто віддалено.
Звеаре не назвав бренд, але зазначив, що це великий світовий автовиробник із кількома популярними суббрендами.
В інтерв’ю напередодні своєї доповіді на конференції Def Con у Лас-Вегасі Звеаре наголосив, що ця ситуація підсвічує проблеми безпеки дилерських систем, які часто надають співробітникам широкий доступ до клієнтських і технічних даних.
Раніше він вже знаходив баги в клієнтських та керуючих системах автовиробників. Цього разу уразливість він виявив під час особистого експерименту на вихідних.
Хоча баг у системі входу знайти було непросто, виявлена діра дозволяла повністю обійти авторизацію, створивши новий обліковий запис «національного адміністратора».
Причиною була некоректна логіка у коді, який завантажувався у браузер при відкритті сторінки входу. Це давало змогу змінити код прямо в браузері й оминути перевірки безпеки. За словами Звеаре, автовиробник не виявив ознак попереднього використання цієї уразливості, тож, ймовірно, він був першим, хто її знайшов і повідомив.
Отримавши доступ, він міг переглядати дані понад 1000 дилерів у США. «Ніхто навіть не здогадується, що ти тихо переглядаєш усю їхню інформацію — фінансові дані, контакти, клієнтські заявки», — зазначив дослідник.
Серед іншого у порталі була національна база пошуку клієнтів: достатньо було знати VIN-код чи навіть лише ім’я та прізвище, щоб знайти власника авто.
У реальному прикладі Звеаре взяв VIN з машини на парковці та зміг отримати дані про її власника. Також можна було прив’язати будь-яке авто до мобільного акаунта, що дозволяє віддалено відчиняти двері через додаток.
Він протестував цю функцію на машині свого знайомого (з його згоди). Для передачі власності портал вимагав лише «запевнення» — фактично формальну галочку — що користувач має право на цю дію.
«У моєму випадку друг погодився, і я отримав контроль над його авто. Але технічно можна зробити це з будь-ким, знаючи лише ім’я, або просто взявши VIN з машини на парковці», — пояснив Звеаре.
Він не перевіряв, чи можна поїхати на такому авто, але зазначив, що зловмисники могли б легко відкрити машину й викрасти речі.
Ще одна проблема — портал дозволяв через переходити в інші пов’язані дилерські системи, а також мав функцію «імперсоналізації» користувачів, тобто входу від їхнього імені без пароля. Аналогічну діру у 2023 році знаходили й у порталі Toyota.
«Це просто бомба уповільненої дії в плані безпеки», — підсумував він.
У системі також були дані, що дозволяли в реальному часі відстежувати місцеперебування службових і прокатних авто, а також машин, що перевозяться країною, з можливістю скасування таких перевезень. Звеаре ці можливості не тестував.
Помилки були виправлені протягом тижня після його повідомлення в лютому 2025 року.
«Висновок простий: дві тривіальні уразливості в API фактично зламали всі двері. І все зводиться до проблем в автентифікації — якщо її налаштовано неправильно, то все інше падає», — резюмував Звеаре.
