Um pesquisador de segurança disse que os erros no portal do revendedor on -line de um fabricante de automóveis descobriram os dados de informações e veículos privados de seus clientes e que os hackers se dividem remotamente nos veículos de seus clientes.
A Eaton Zveare, que trabalha como pesquisadora de segurança na empresa de entrega de software Harness, disse ao TechCrunch que descobriu que descobriu uma conta de administrador que concedeu “acesso desbotado” ao portal da web centralizado do fabricante de automóveis sem nome.
Com esse acesso, um hacker malicioso poderia ter visto os dados pessoais e financeiros dos clientes do fabricante de automóveis, seguir veículos e definir clientes em funções com as quais os proprietários – ou os hackers – podem controlar algumas das funções de seu carro em todos os lugares.
Zveare disse que não vai ligar para o vendedor, mas disse que era uma montadora bem conhecida com vários sub -randos populares.
Em uma entrevista ao TechCrunch antes de seu discurso na Conferência de Segurança da DeF Con em Las Vegas no domingo, Zveare disse que os bugs trazem a segurança desses sistemas de revendedores à atenção de que seus funcionários e funcionários fornecem amplo acesso às informações de clientes e veículos.
Zveare, que encontrou bugs no início deste ano em sistemas de clientes e gerenciamento de veículos de sistemas de autores e veículos, encontrou o TechCrunch no TechCrunch.
Ele disse que, embora os erros de segurança no sistema de login do portal fossem um desafio a encontrar assim que ele o encontrou, os bugs o contornaram completamente o mecanismo de login, permitindo que ele fizesse uma nova conta de “Administrador Nacional”.
Os erros foram problemáticos porque o código de buggy no navegador do usuário foi carregado ao abrir a página de login do portal, para que o usuário – nesse caso ZVeare – possa alterar o código para contornar as verificações de segurança de login. Zveare disse ao TechCrunch que o fabricante de automóveis não encontrou evidências das extremidades do passado, o que sugeriu que ele foi o primeiro a encontrá -lo e o relatou ao fabricante de carros.
Ao fazer login, a conta deu acesso a mais de 1.000 dos revendedores dos fabricantes de automóveis nos Estados Unidos, disse ele ao TechCrunch.
“Ninguém sabe que você apenas olha em silêncio com todos esses dados desses revendedores, todos os seus dados financeiros, todas as suas coisas particulares, todos os seus leads”, disse Zvear, ao descrever o acesso.
Zveare disse que uma das coisas que ele encontrou no portal do revendedor era uma ferramenta nacional para procurar consumidores com os quais os usuários do portal podiam procurar os dados do veículo e o motorista desse fabricante de carros.
Em um exemplo do mundo real, Zveare pegou o número de identificação exclusivo de um veículo do pára-brisa de um carro em um estacionamento público e usou o número para identificar o proprietário do carro. Zveare disse que a ferramenta pode ser usada para visitar alguém com apenas o primeiro e sobrenome de um cliente.
Com o acesso ao portal, Zveare disse que também era possível vincular cada veículo a uma conta móvel, com a qual os clientes podem gerenciar algumas das funções de seu carro de um aplicativo remotamente, como desbloquear seus carros.
Zveare disse que tentou isso em um exemplo do mundo real da conta de um amigo e com a permissão deles. Ao transferir a propriedade para uma conta que é controlada pela ZVeare, ele disse que o portal requer apenas um certificado – efetivamente uma promessa de rosada – que o usuário realiza a transferência de conta é legítima.
“Para meus propósitos, acabei de receber um amigo que concordou em assumir o carro deles, e corri com isso”, disse Zvear ao TechCrunch. “Mas (o portal) poderia realmente fazer isso com todos, apenas sabendo o nome que me toca um pouco ou eu poderia apenas procurar um carro nos lugares de estacionamento”.
Zveare disse que não testou ou poderia perseguir, mas disse que a exploração poderia ser abusada por ladrões, por exemplo, para quebrar e roubar itens de veículos.
Outro problema importante com o acesso ao portal deste fabricante de automóveis foi que era possível acessar os sistemas de outro revendedor vinculado ao mesmo portal por meio de um registro, uma função com a qual os usuários efetuam login em vários sistemas ou aplicativos com apenas um conjunto de detalhes de login. Zveare disse que os sistemas do fabricante de carros para revendedores estão todos conectados, por isso é fácil pular de um sistema para o outro.
Com isso, ele, o portal, também tinha uma função que os gerentes, como a conta de usuário que ele fez, permitiu que outros usuários ‘pensassem’, tornando o acesso a outros sistemas de revendedores efetivamente possíveis como se fossem esse usuário sem precisar de seus registros. Zveare disse que isso foi comparável a uma função encontrada em um revendedor Toyota -portal descoberto em 2023.
“Eles são apenas pesadelos de segurança esperando para acontecer”, disse Zveare, falando sobre a função de imitação do usuário.
Uma vez no portal ZVeare, os dados pessoalmente identificáveis do cliente, algumas informações financeiras e sistemas telemáticos com os quais a localização em tempo real de carros de aluguel ou cortesia poderia ser seguida, assim como os carros enviados em todo o país, e a opção de cancelá-los não experimentou.
Zveare disse que os insetos duraram cerca de uma semana para reparar em fevereiro de 2025 logo após sua divulgação ao fabricante de carros.
“As refeições da coleção são que apenas duas vulnerabilidades simples de API abriram as portas e estão sempre relacionadas à autenticação”, disse Zvree. “Se você vai entender errado, tudo cai.”
