Vulnerabilități de securitate în portalul online al unui producător auto
Vulnerabilitățile din portalul online al unui producător auto au expus informațiile private și datele vehiculelor clienților săi, permițând hackerilor să pătrundă de la distanță în orice vehicul al clienților.
Descoperirea vulnerabilităților
Eaton Zveare, un cercetător în securitate, a identificat o breșă în portalul online al unui producător auto, care permitea crearea unui cont de administrator ce oferea acces nelimitat la portalul centralizat al companiei. Zveare a menționat că nu va dezvălui numele producătorului, dar a subliniat că este un brand auto cunoscut, cu mai multe sub-mărci populare.
Accesul neautorizat la date sensibile
Cu acest acces, un hacker ar putea vizualiza datele personale și financiare ale clienților, urmări vehiculele și înscrie clienții în funcții care permit controlul de la distanță al anumitor funcții ale mașinilor. Zveare a explicat că breșele de securitate au evidențiat problemele sistemelor de dealeri, care oferă angajaților și asociaților acces larg la informațiile clienților și vehiculelor.
Metoda de exploatare
Zveare a descoperit breșa în portalul de login, care permitea ocolirea mecanismului de autentificare prin crearea unui nou cont de „admin național”. Codul defectuos se încărca în browserul utilizatorului, permițând modificarea acestuia pentru a ocoli verificările de securitate. Producătorul auto nu a găsit dovezi ale exploatării anterioare, sugerând că Zveare a fost primul care a descoperit și raportat această problemă.
Accesul la informații confidențiale
Odată autentificat, contul oferea acces la peste 1.000 de dealeri din Statele Unite. Zveare a subliniat că, prin portal, a găsit un instrument național de căutare a consumatorilor, care permitea utilizatorilor să caute datele vehiculului și ale șoferului. De asemenea, era posibil să se asocieze orice vehicul cu un cont mobil, permițând controlul de la distanță asupra unor funcții ale mașinii, cum ar fi deblocarea acesteia.
Problemele de securitate
Un alt aspect problematic a fost accesul la sistemele altor dealeri legate de același portal printr-un sistem de autentificare unică. Zveare a menționat că sistemele dealerilor sunt interconectate, permițându-le să acceseze ușor diferite sisteme. De asemenea, portalul permitea administratorilor să „impersonifice” alți utilizatori, oferind acces la sistemele altor dealeri fără a necesita autentificarea acestora.
Informații sensibile găsite
În cadrul portalului, Zveare a găsit date personale identificabile ale clienților, informații financiare și sisteme de telematică ce permiteau urmărirea în timp real a vehiculelor. De asemenea, putea anula transporturile vehiculelor, deși nu a testat această opțiune.
Concluzie
Breșele de securitate identificate au fost remediate în aproximativ o săptămână, după dezvăluirea către producător. Zveare a concluzionat că doar două vulnerabilități simple în API au deschis porțile către grave probleme de securitate, subliniind importanța autentificării corecte în astfel de sisteme.
