Исследователь по кибербезопасности сообщил, что ошибки в онлайн-портале для дилеров одного известного автопроизводителя приводили к утечке персональных данных и технической информации об автомобилях клиентов, а также потенциально позволяли злоумышленникам дистанционно открывать машины.
Итон Звеаре, специалист компании Harness, рассказал TechCrunch, что обнаруженная им уязвимость позволяла создать учетную запись администратора с неограниченным доступом к централизованному порталу производителя.
С таким доступом злоумышленник мог просматривать персональные и финансовые данные клиентов, отслеживать автомобили, а также подключать функции, которые позволяют владельцам (или хакерам) управлять некоторыми функциями авто удаленно.
Звеаре не назвал бренд, но отметил, что это крупный мировой автопроизводитель с несколькими популярными суббрендами.
В интервью накануне своего доклада на конференции Def Con в Лас-Вегасе Звеаре подчеркнул, что эта ситуация подсвечивает проблемы безопасности дилерских систем, которые часто предоставляют сотрудникам широкий доступ к клиентским и техническим данным.
Ранее он уже находил баги в клиентских и управляющих системах автопроизводителей. На этот раз уязвимость он обнаружил во время личного эксперимента на выходных.
Хотя баг в системе входа найти было непросто, обнаруженная дыра позволяла полностью обойти авторизацию, создав новую учетную запись «Национального администратора».
Причиной была некорректная логика в коде, который загружался в браузер при открытии страницы входа. Это позволяло изменить код прямо в браузере и обойти проверки безопасности. По словам Звеаре, автопроизводитель не обнаружил признаков предыдущего использования этой уязвимости, поэтому, вероятно, он был первым, кто ее нашел и сообщил.
Получив доступ, он мог просматривать данные более чем 1000 дилеров в США. «Никто даже не догадывается, что ты тихо просматриваешь всю их информацию — финансовые данные, контакты, клиентские заявки», — отметил исследователь.
Среди прочего в портале была национальная база поиска клиентов: достаточно было знать VIN-код или даже только имя и фамилию, чтобы найти владельца авто.
В реальном примере Звеаре взял VIN из машины на парковке и смог получить данные о ее владельце. Также можно было привязать любое авто к мобильному аккаунту, что позволяет удаленно открывать двери через приложение.
Он протестировал эту функцию на машине своего знакомого (с его согласия). Для передачи собственности портал требовал лишь «заверения» — фактически формальную галочку-что пользователь имеет право на это действие.
«В моем случае друг согласился, и я получил контроль над его авто. Но технически можно сделать это с кем угодно, зная только имя, или просто взяв VIN из машины на парковке», — пояснил Звеаре.
Он не проверял, можно ли поехать на таком авто, но отметил, что злоумышленники могли бы легко открыть машину и похитить вещи.
Еще одна проблема — портал позволял через переходить в другие связанные дилерские системы, а также имел функцию «имперсонализации» пользователей, то есть входа от их имени без пароля. Аналогичную дыру в 2023 году находили и в портале Toyota.
«Это просто бомба замедленного действия в плане безопасности», — подытожил он.
В системе также были данные, позволявшие в реальном времени отслеживать местопребывание служебных и прокатных авто, а также машин, перевозимых страной, с возможностью отмены таких перевозок. Звеаре эти возможности не тестировал.
Ошибки были исправлены в течение недели после его сообщения в феврале 2025 года.
«Вывод прост: две тривиальные уязвимости в API фактически взломали все двери. И все сводится к проблемам в аутентификации — если она настроена неправильно, то все остальное падает», — резюмировал Звеаре.
