Исследователь безопасности заявил, что уязвимости в онлайн-портале автодилеров одного из автопроизводителей раскрыли личную информацию и данные автомобилей клиентов, а также могли позволить хакерам дистанционно взламывать автомобили клиентов.
Итон Звир, специалист по безопасности из компании Harness, занимающейся поставками программного обеспечения, рассказал TechCrunch, что обнаруженная им уязвимость позволяла создать администраторскую учётную запись с «неограниченным доступом» к централизованному веб-порталу автопроизводителя (название компании не разглашается).
С таким доступом злоумышленник мог просматривать личные и финансовые данные клиентов, отслеживать автомобили, а также подключать функции, позволяющие владельцам (или хакерам) удалённо управлять некоторыми возможностями машины.
Звир не планирует раскрывать название производителя, но отметил, что это широко известная компания с несколькими популярными суббрендами.
В интервью TechCrunch перед своим докладом на конференции Def Con в Лас-Вегасе исследователь подчеркнул, что эти уязвимости демонстрируют проблемы безопасности систем дилерских центров, которые предоставляют сотрудникам слишком широкие права доступа к данным клиентов и автомобилей.
Ранее Звир уже находил уязвимости в системах автопроизводителей [1](https://eaton-works.com/2023/03/06/toyota-c360-hack/) [2](https://eaton-works.com/2023/02/06/toyota-gspims-hack/). Новую проблему он обнаружил в начале этого года во время личного проекта. По его словам, ошибки в системе входа на портал позволили обойти механизмы аутентификации и создать учётную запись «национального администратора».
Проблема заключалась в коде, загружаемом в браузер при открытии страницы входа. Это позволило Звиру изменить код и обойти проверки безопасности. Автопроизводитель не обнаружил следов эксплуатации уязвимости до её устранения, что указывает на то, что исследователь первым обнаружил и сообщил о ней.
Получив доступ, Звир смог просматривать информацию более чем 1000 дилерских центров по всей стране. «Вы можете незаметно изучать финансовые данные дилеров, их клиентские базы, личные сведения», — объяснил он.
Внутри портала исследователь нашёл инструмент для поиска данных клиентов по VIN-номеру или имени. Например, он использовал номер с лобового стекла машины на парковке, чтобы получить информацию о владельце.
Также через портал можно было привязать любой автомобиль к мобильному аккаунту для удалённого управления. Звир протестировал это с согласия друга, перенеся управление на свой аккаунт. Система требовала лишь формального подтверждения легитимности действия. «Достаточно знать имя человека, что довольно пугает», — отметил он.
Другая проблема заключалась в возможности доступа к связанным системам через единый вход (SSO). Администраторы могли «внедряться» в аккаунты других пользователей, как это ранее наблюдалось в системе Toyota [2](https://eaton-works.com/2023/02/06/toyota-gspims-hack/).
В портале также содержались данные для отслеживания местоположения арендованных автомобилей и машин в процессе доставки. Звир не проверял возможность их отмены, но отметил, что уязвимости могли использоваться для кражи автомобилей или предметов из них.
Ошибки были исправлены в феврале 2025 года через неделю после уведомления автопроизводителя. «Две простые уязвимости в API, связанные с аутентификацией, открыли двери для атак. Если ошибиться здесь — всё рушится», — резюмировал Звир.