Mint arról a biztonsági szakértő beszámolói alapján a TechCrunch hírt adott, a portálra való “belépése” során a “hacker” egy admin-fiókot is létrehozott.
Ajtó-ablak helyzet
Ezzel a hozzáféréssel pedig láthatóvá váltak az ügyfelek személyes és járműadatai. Innentől pedig csak karnyújtásnyira van, hogy hackerek feltörjék bármelyik ügyfél autóját.
Eaton Zveare, a Harness nevű szoftverszállító cég biztonsági kutatója szerint ez a hiba – a szabadon létrehozható adminisztrátori fiókokkal – “korlátlan hozzáférést” biztosított az autógyártó központi webes portáljához.
Ezzel a hozzáféréssel egy rosszindulatú szereplő, vagyis a “hacker” megtekinthették volna az autógyártó ügyfeleinek személyes és pénzügyi adatait.
Ilyen adatok birtokában pedig nyomon követhetik akár a járműveket is. Ha ennél kicsit tovább megyünk, a hackerek akár a teljes irányítást is átvehették volna az autók bizonyos funkcióit.
“A többit inkább nem mondom el…”
Zveare nem tervezi nyilvánosságra hozni a gyártó nevét, de elmondása szerint egy széles körben ismert autógyártóról van szó – több népszerű almárkával.
A szakértő szerint ezek a hibák rávilágítanak a kereskedői rendszerek biztonságának jelentőségére. Ezek adnak ugyanis széles – ha nem teljes – körű hozzáférést adnak az alkalmazottaknak és partnereknek az ügyfél- és járműinformációkhoz.
A hibát az okozta, hogy a hibás kód betöltődött a felhasználó böngészőjébe a portál bejelentkezési oldalának megnyitásakor.
Ezzel Zveare számára máris lehetővé vált, hogy módosítsa a kódot, és így átugorja a bejelentkezési biztonsági ellenőrzéseket.
Eddig nem történt incidens
Zveare szerint az autógyártó nem talált korábbi visszaélésre utaló nyomot, ami arra utal, hogy a kiberbiztonsági szakértő lehetett az első, aki megtalálta és jelentette a hibát.
Mindenesetre az admin-fiókkal bejelentkezve több mint ezer amerikai kereskedés adataihoz lehetett hozzáférni.
A portálon belül egy országos fogyasztói keresőeszközt is talált, amellyel a felhasználók lekérdezhették az adott autógyártó jármű- és vezetői adatait.
Alvázszám, személyes adatok
Valós példát idézve a szakértő elmondta, egy parkoló autó szélvédőjén lévő alvázszám alapján azonosította a jármű tulajdonosát. Az eszközzel keresztnév és vezetéknév alapján is rá lehetett keresni a tulajdonosra.
A portálhoz szerzett hozzáférés segítségével bármely járművet párosíthatnak egy mobilfiókkal, amellyel akár a jármű ajtóit is nyithatják – távoli vezérlésen keresztül – egy alkalmazással.
Mindezen felül Zveare egy barátja hozzájárulásával csinált egy próbát, és még a jármű tulajdonjogát is át tudta ruházni egy általa kezelt fiókra.
Bár a “próba-hack” során nem próbálta ki, hogy el tudna-e hajtani a járművel, de szerinte a hibát bűnözők felhasználhatnák arra, hogy betörjenek autókba és ellopjanak belőlük tárgyakat.
(Kép: Unsplash/Xavier Senente)
