Специалист по безопасности рассказал, что хакер может убрать контрольные автомобили через портал дилеров

В шокирующем инциденте с кибербезопасностью, который должен напугать каждого американца, Главный исследователь безопасности рассказал, как он получил «неограниченный доступ» к дилерскому порталу крупного автопроизводителя. Потенциально позволяя хакерам удаленно захватывать любой автомобиль клиента из любой точки мира.

Итон Zveare, исследователь безопасности в компании по доставке программного обеспечения Harness, сделал тревожное раскрытие в TechCrunch, объясняя, как Разрушительный изъян мог позволить киберпреступникам получить доступ к личным и финансовым данным жертв, отслеживать их транспортные средства в режиме реального времени и даже полностью контролировать транспортные средства.из любой точки мира.

В то время как Zveare отказался назвать имя уязвимого автопроизводителя, он подтвердил, что это популярная автомобильная компания, работающая под несколькими брендами под своим корпоративным зонтиком, что означает, что миллионы американцев могли быть в опасности.

TechCrunch сообщает:

Zveare, который ранее обнаруживал ошибки в системах управления автомобилями, обнаружил их в начале этого года в рамках проекта выходного дня.

Он сказал, что в то время как недостатки безопасности в системе входа в портал было трудно найти, как только он нашел его, баги позволяют ему полностью обойти механизм входа в систему Разрешить ему создать новый аккаунт «национального администратора».

Недостатки были проблематичными, потому что код багги загружался в браузер пользователя при открытии страницы входа в портал.Это позволяет пользователю — в данном случае Zveare — изменять код, чтобы обойти проверки безопасности входа в систему.

""Никто даже не знает, что вы просто молча смотрите на все данные этих дилеров, все их финансы, все их личные вещи, все их лиды.», — сказал Звери новостному изданию в своем взрывном интервью.

Исследователь продемонстрировал ужасающий потенциал взлома, объяснив: Для моих целей я только что получил друга, который согласился взять их машину, и я побежал с этим. Но [портал] мог бы сделать это с кем угодно, просто зная их имя — что немного меня пугает — или я мог бы просто поискать машину на парковках. "

""Это просто кошмары безопасности, которые ждут своего часа.Он добавил, подчеркнув отраслевые уязвимости, которые могут подвергнуть американские семьи кибератакам.

К счастью, автопроизводитель действовал быстро после уведомления, а Zveare подтвердил, что критические уязвимости были исправлены в течение одной недели в феврале 2025 года.

"" Вывод заключается в том, что только две простые уязвимости API открыли двери, и это всегда связано с аутентификацией. Если вы собираетесь ошибиться, то все просто падает. "

Это открытие подчеркивает растущую угрозу кибервойны, нацеленной на критическую инфраструктуру Америки, что вызывает серьезные вопросы о том, делает ли наша автомобильная промышленность достаточно для защиты американцев от хакеров.