Исследователь в области безопасности заявил, что уязвимости в онлайн-портале автодилера автомобильного производителя привели к утечке личной информации и данных об автомобилях его клиентов, а также могли позволить хакерам удаленно взломать любой из автомобилей его клиентов.
Итон Звеар, работающий исследователем в области безопасности в компании Harness, занимающейся поставкой программного обеспечения, сообщил TechCrunch, что обнаруженная им уязвимость позволяла создать учетную запись администратора, которая давала «неограниченный доступ» к централизованному веб-порталу неназванного автомобильного производителя.
Имея такой доступ, злоумышленник мог просматривать личные и финансовые данные клиентов автопроизводителя, отслеживать автомобили и подключать клиентов к функциям, которые позволяют владельцам — или хакерам — контролировать некоторые функции их автомобилей из любого места.
Звеаре сказал, что не планирует называть имя производителя, но отметил, что это широко известный автопроизводитель с несколькими популярными суббрендами.
В интервью TechCrunch перед своим выступлением на конференции по безопасности Def Con в Лас-Вегасе в воскресенье Звеаре сказал, что эти ошибки привлекли внимание к безопасности систем дилерских центров, которые предоставляют своим сотрудникам и партнерам широкий доступ к информации о клиентах и автомобилях.
Звеаре, который ранее находил ошибки в клиентских системах автопроизводителей и системах управления автомобилями, обнаружил эту уязвимость в начале этого года в рамках проекта, над которым он работал в выходные, рассказал он TechCrunch.
Он сказал, что хотя уязвимости в системе входа в портал было сложно обнаружить, как только он их нашел, ошибки позволили ему полностью обойти механизм входа, позволив ему создать новую учетную запись «национального администратора».
Эти уязвимости были проблематичны, потому что ошибочный код загружался в браузере пользователя при открытии страницы входа в портал, позволяя пользователю — в данном случае Звеаре — изменить код, чтобы обойти проверки безопасности входа. Звеаре сообщил TechCrunch, что автопроизводитель не обнаружил никаких доказательств использования уязвимости в прошлом, что позволяет предположить, что он был первым, кто обнаружил ее и сообщил об этом автопроизводителю.
После входа в систему учетная запись предоставляла доступ к более чем 1000 дилеров автопроизводителя по всей территории США, сообщил он TechCrunch.
Оригинал
Уникальность
