Weekendowe hobby przerodziło się w jedno z najpoważniejszych odkryć w branży motoryzacyjnej ostatnich miesięcy. Badacz bezpieczeństwa Eaton Zveare natknął się na lukę w portalu dealerskim znanej marki, która pozwalała m.in. na odblokowanie samochodów, śledzenie ich w czasie rzeczywistym i dostęp do danych klientów.

Dwie proste luki w API

Jak opisuje Zveare, wszystko zaczęło się od „weekendowego projektu”. Podczas testów odkrył w systemie dwie proste podatności API, które umożliwiły mu zalogowanie się jako administrator z najwyższymi uprawnieniami. Portal obsługiwał ponad tysiąc dealerów w USA, a po uzyskaniu dostępu badacz mógł przeglądać dane osobowe kupujących, numery VIN oraz adresy właścicieli aut. Zveare podkreślił, że możliwe było nie tylko śledzenie samochodów flotowych i zastępczych w czasie rzeczywistym, ale także ich zdalne odblokowywanie. Dodatkowo w systemie znajdowały się informacje finansowe i możliwość anulowania dostaw aut do dealerów.

Podobne przypadki w branży

Jeżeli brzmi to znajomo, to nic dziwnego – w styczniu tego roku podobne problemy z bezpieczeństwem wykryto w systemach Subaru. To pokazuje, że im bardziej „inteligentne” stają się samochody, tym większe jest ryzyko podatności. Zveare ma już historię podobnych odkryć – w 2023 roku uzyskał dostęp do danych klientów Toyoty w Meksyku oraz do globalnej sieci zarządzania dostawcami firmy, w której wystarczył odpowiedni adres e-mail, by ominąć logowanie hasłem. Sam badacz określił tamtą lukę jako „jedną z najpoważniejszych” w swojej karierze – aż do teraz.

Na szczęście luka została załatana

W przypadku obecnego odkrycia badacz zgłosił problem marce w lutym bieżącego roku, a publicznie opowiedział o nim dopiero wprowadzeniu łatki. Choć sprawa zakończyła się szczęśliwie, pozostaje pytanie: skoro jedna osoba jest w stanie znaleźć takie błędy, to co mogą odkrywać zorganizowane grupy cyberprzestępcze?

O autorze