Исследователь в области кибербезопасности обнаружил серьезные уязвимости в онлайн-портале одного из крупных автопроизводителей. Эти недостатки в системе безопасности позволяли не только получить доступ к конфиденциальной информации клиентов, но и давали возможность злоумышленникам удаленно отпирать автомобили из любой точки мира. Специалист не стал называть компанию, но уточнил, что речь идет об известном бренде с несколькими популярными дочерними марками.

Эксперт по безопасности Итон Звир рассказал, что уязвимости в централизованном дилерском портале позволили ему создать учетную запись администратора с неограниченными правами, сообщает TechCrunch. По его словам, это стало возможным из-за ошибок в коде страницы входа, который загружался в браузере пользователя. Модифицировав этот код, исследователь сумел обойти механизмы защиты и получить полный контроль над системой, открыв доступ к огромному массиву данных.
Получив права администратора, Звир смог просматривать личные и финансовые данные клиентов более чем тысячи дилерских центров по всей территории США. В портале был обнаружен инструмент поиска, который позволял находить информацию о владельце автомобиля, зная лишь его имя и фамилию или уникальный идентификационный номер (VIN). Исследователь продемонстрировал это на практике, получив данные о владельце машины, VIN которой он увидел на парковке.
Наиболее тревожной возможностью, по словам эксперта, была функция удаленного управления автомобилем. Система позволяла привязать любую машину к новому мобильному аккаунту, что давало возможность дистанционно отпирать двери. Звир успешно проверил эту функцию с согласия своего друга, продемонстрировав, насколько легко злоумышленники могли бы получить доступ к чужим автомобилям для кражи личных вещей.
Автопроизводитель был уведомлен о проблеме и, по данным исследователя, устранил уязвимости в течение недели в феврале 2025 года. Компания не обнаружила свидетельств того, что кто-либо еще воспользовался этими недостатками. Звир подчеркнул, что данный случай наглядно демонстрирует, как всего пара ошибок в системе аутентификации может привести к полному краху всей системы безопасности.