Дослідник із кібербезпеки виявив серйозні уразливості в онлайн-порталі дилерської мережі великого автовиробника, через які особисті дані клієнтів і дані про транспортні засоби опинилися під загрозою. Ці недоліки могли дати зловмисникам змогу дистанційно отримати контроль над автомобілями клієнтів по всьому світу.
Про це розповідає ProIT
Як працювала уразливість та які ризики вона створювала
Ітон Звеар, експерт із безпеки компанії Harness, повідомив, що йому вдалося створити адміністративний обліковий запис із повним доступом до центрального веб-порталу невказаного, але широко відомого автовиробника з кількома популярними суббрендами. Отримавши такі права, потенційний хакер міг переглядати особисту та фінансову інформацію клієнтів, відстежувати місцезнаходження транспортних засобів, а також підключати функції, які дозволяють дистанційно керувати машиною — наприклад, розблоковувати двері через інтернет.
Звеар зазначає, що не планує розкривати ім’я автовиробника, однак підкреслив, що йдеться про гравця зі світовим ім’ям. Він виявив недоліки системи під час особистого дослідження на початку 2025 року. Проблема полягала у тому, що через помилки у коді порталу, що завантажувався у браузер користувача на сторінці входу, можна було змінити програмний код і повністю обійти перевірку автентифікації, створивши обліковий запис національного адміністратора.
“No one even knows that you’re just silently looking at all of these dealers’ data, all their financials, all their private stuff, all their leads”, — зазначив Звеар, описуючи рівень доступу, який він отримав.
Вразливість охоплювала понад тисячу дилерів та особисті дані клієнтів
Після входу до системи відкривався доступ до даних понад 1 000 дилерських центрів по всій території США. Звеар також виявив інструмент для національного пошуку клієнтів, за допомогою якого можна було знаходити інформацію про водіїв та їхні транспортні засоби лише за іменем і прізвищем, або за ідентифікаційним номером авто.
Дослідник перевірив роботу цієї функції на прикладі авто свого знайомого — за його згодою — і підтвердив, що система дозволяє дистанційно під’єднувати мобільний обліковий запис до будь-якої машини, що відкриває шлях до віддаленого керування окремими функціями. Для такої зміни власності необхідна лише формальна згода, яку легко підробити.
Ще однією небезпечною особливістю порталу став механізм єдиного входу, що дозволяв адміністративним користувачам входити до систем інших дилерів без додаткової автентифікації. Звеар підкреслив, що це нагадує аналогічні проблеми, виявлені у порталі дилерів Toyota у 2023 році.
Портал також давав доступ до особистих даних клієнтів, фінансової інформації та телематичних систем із можливістю відстежувати рух службових або орендованих автомобілів у реальному часі, а також скасовувати переміщення таких автомобілів.
За словами Звеара, вразливість була усунена протягом тижня після його звернення до автовиробника в лютому 2025 року. Він наголосив, що ключовою проблемою стали дві прості помилки в API, пов’язані з автентифікацією.
Висновок: Порушення у сфері кібербезпеки можуть призвести до масштабних витоків даних та несанкціонованого керування транспортними засобами, якщо автовиробники не приділяють належної уваги захисту своїх цифрових систем.