Уязвимости в веб-портале автопроизводителя позволили хакеру удалённо открывать автомобили.

Три года назад исследователь в области безопасности Итон Звеаре обнаружил уязвимость в интерфейсе SmartTub компании Jacuzzi, которая позволяла получить доступ к личным данным каждого владельца гидромассажной ванны.

Теперь Звеаре утверждает, что недостатки в портале дилерской сети неназванного автопроизводителя "привели к раскрытию личной информации и данных о транспортных средствах его клиентов", сообщает TechCrunch, "и могли позволить злоумышленникам удаленно взламывать любые автомобили его клиентов".

Звеаре, работающий исследователем безопасности в компании Harness, рассказал TechCrunch, что обнаруженная им уязвимость позволила создать учетную запись ["национального"] администратора, которая предоставляла "неограниченный доступ" к централизованному веб-порталу неназванного автопроизводителя. С таким доступом злоумышленник мог просматривать личные и финансовые данные клиентов автопроизводителя, отслеживать транспортные средства и подключать клиентов к функциям, позволяющим владельцам – или злоумышленникам – удаленно управлять некоторыми функциями своих автомобилей.

Звеаре заявил, что не планирует называть вендора, но отметил, что это широко известный автопроизводитель с несколькими популярными суббрендами.

В интервью TechCrunch, данном перед его выступлением на конференции по безопасности Def Con в Лас-Вегасе в воскресенье, Звеаре сказал, что эти недостатки подчеркивают проблемы безопасности дилерских систем, которые предоставляют их сотрудникам и партнерам широкий доступ к информации о клиентах и транспортных средствах. Неполадки оказались проблематичными, поскольку ошибочный код загружался в браузер пользователя при открытии страницы входа в портал, что позволяло пользователю – в данном случае Звеаре – изменять код для обхода проверок безопасности входа. Звеаре сообщил TechCrunch, что автопроизводитель не обнаружил никаких свидетельств о прошлых взломах, что позволяет предположить, что именно он первым обнаружил уязвимость и сообщил о ней автопроизводителю.

После входа в систему учетная запись предоставляла доступ к более чем 1000 дилерских центров автопроизводителя по всей территории Соединенных Штатов, сообщил Звеаре TechCrunch. С доступом к порталу Звеаре также стало возможным привязать любое транспортное средство к мобильной учетной записи, что позволяет клиентам удаленно управлять некоторыми функциями своих автомобилей через приложение, например, разблокировать автомобиль. "Главный вывод заключается в том, что всего две простые уязвимости API открыли двери, и это всегда связано с аутентификацией", – сказал Звеаре. "Если вы ошибетесь в этом, то все рухнет".

Звеаре сообщил TechCrunch, что порталы даже включали "телематические системы, которые позволяли отслеживать местоположение автомобилей, взятых в аренду или предоставленных в качестве замены".

"Звеаре сообщил, что недостатки были устранены примерно за неделю в феврале 2025 года вскоре после его сообщения об этом автопроизводителю".