Исследователь в области кибербезопасности обнаружил серьезные уязвимости в онлайн-портале дилерской сети крупного автопроизводителя, из-за которых личные данные клиентов и данные о транспортных средствах оказались под угрозой. Эти недостатки могли дать злоумышленникам возможность дистанционно получить контроль над автомобилями клиентов по всему миру.
Об этом сообщает ProIT
Как работала уязвимость и какие риски она создавала
Итон Звеар, эксперт по безопасности компании Harness, сообщил, что ему удалось создать административную учетную запись с полным доступом к центральному веб-порталу неуказанного, но широко известного автопроизводителя с несколькими популярными суббрендами. Получив такие права, потенциальный хакер мог просматривать личную и финансовую информацию клиентов, отслеживать местоположение транспортных средств, а также подключать функции, которые позволяют дистанционно управлять машиной — например, разблокировать двери через интернет.
Звеар отметил, что не планирует раскрывать имя автопроизводителя, однако подчеркнул, что речь идет о игроке с мировым именем. Он обнаружил недостатки системы во время личного исследования в начале 2025 года. Проблема заключалась в том, что из-за ошибок в коде портала, загружаемого в браузер пользователя на странице входа, можно было изменить программный код и полностью обойти проверку аутентификации, создав учетную запись национального администратора.
«Никто даже не знает, что вы просто молча смотрите на все эти данные дилеров, всю их финансовую информацию, всю их частную информацию, все их потенциальные сделки», — отметил Звеар, описывая уровень доступа, который он получил.
Уязвимость охватывала более тысячи дилеров и личные данные клиентов
После входа в систему открывался доступ к данным более 1 000 дилерских центров по всей территории США. Звеар также обнаружил инструмент для национального поиска клиентов, с помощью которого можно было находить информацию о водителях и их транспортных средствах только по имени и фамилии или по идентификационному номеру автомобиля.
Исследователь проверил работу этой функции на примере автомобиля своего знакомого — с его согласия — и подтвердил, что система позволяет дистанционно подключать мобильную учетную запись к любому автомобилю, что открывает путь к удаленному управлению отдельными функциями. Для такой передачи собственности необходима лишь формальная согласие, которое легко подделать.
Еще одной опасной особенностью портала стал механизм единого входа, который позволял административным пользователям входить в системы других дилеров без дополнительной аутентификации. Звеар подчеркнул, что это напоминает аналогичные проблемы, обнаруженные в портале дилеров Toyota в 2023 году.
Портал также предоставлял доступ к личным данным клиентов, финансовой информации и телематическим системам с возможностью отслеживать движение служебных или арендованных автомобилей в реальном времени, а также отменять перемещения таких автомобилей.
По словам Звеара, уязвимость была устранена в течение недели после его обращения к автопроизводителю в феврале 2025 года. Он отметил, что ключевой проблемой стали две простые ошибки в API, связанные с аутентификацией.
Вывод: Нарушения в сфере кибербезопасности могут привести к масштабным утечкам данных и несанкционированному управлению транспортными средствами, если автопроизводители не уделяют должного внимания защите своих цифровых систем.