Исследователь в области кибербезопасности обнаружил серьёзные уязвимости в онлайн-портале автопроизводителя, которые раскрывали личные данные и информацию об автомобилях клиентов. Эти проблемы позволяли злоумышленникам удаленно открывать автомобили из любой точки мира.
Эйтон Звеаре, работающий в сфере безопасности программного обеспечения, рассказал, что найденная им уязвимость позволяла создать аккаунт администратора с полным доступом к централизованному веб-порталу автопроизводителя. С таким доступом злоумышленник мог просматривать личные и финансовые данные клиентов, отслеживать местоположение автомобилей и активировать функции, позволяющие управлять некоторыми функциями автомобилей удаленно.
Хотя конкретного производителя Звеаре не назвал, он отметил, что речь идет о широко известной компании с несколькими популярными суббрендами.
По словам исследователя, эти уязвимости ярко демонстрируют недостатки в безопасности дилерских систем, которые предоставляют сотрудникам широкий доступ к информации о клиентах и транспортных средствах.
Звеаре обнаружил эти баги в начале года в рамках собственного проекта. Проблема заключалась в том, что код, загружаемый в браузере пользователя на странице входа, позволял изменять его и обходить систему аутентификации, создавая «национальный админский» аккаунт.
Полученный доступ открывал вход к данным более чем 1000 дилеров по всей стране. Среди прочего, в портале был инструмент для поиска информации по клиентам и автомобилям, который позволял по номеру VIN или имени владельца получить данные о транспортном средстве и собственнике.
Звеаре на практике проверил возможность привязки автомобиля к мобильному аккаунту, что дало возможность дистанционно управлять функциями автомобиля, включая открытие дверей. Для подтверждения передачи права управления порталом требовалось лишь простое заявление — что делало систему уязвимой для злоупотреблений.
Кроме того, портал позволял администраторам «маскироваться» под других пользователей, получая доступ к системам других дилеров без необходимости вводить их учетные данные. Это создавало дополнительные риски безопасности.
В системе также хранилась информация для отслеживания местоположения арендованных или транспортируемых автомобилей, а также опция их отмены, хотя Звеаре не проверял эти функции на практике.
После сообщения об уязвимостях, их устранили в течение недели. Исследователь подчеркнул, что главная причина подобных проблем — ошибки в механизмах аутентификации, которые могут полностью скомпрометировать безопасность системы.
