یک محقق موفق شد با کشف دو حفره امنیتی ساده به پورتال آنلاین یک خودروساز بزرگ نفوذ کند و به اطلاعات خصوصی میلیون‌ها مشتری و قابلیت کنترل از راه دور خودروهای آنها دست یابد. این نفوذ که به گفتن یک «کابوس امنیتی» توصیف شده، به هکرها اجازه می‌داد تا در خودروها را باز کنند، آنها را به طور زنده ردیابی و حتی هویت کارمندان نمایندگی‌ها را جعل کنند.

به گزارش تک‌کرانچ، محققی در حوزه امنیت به‌نام «ایتون زویر» (Eaton Zveare)، در یک پروژه شخصی تصمیم گرفت تا امنیت پورتال آنلاین نمایندگی‌های یک خودروساز بزرگ و ناشناس را بازدید کند. نتیجه کشف یک رشته از صدمه‌پذیری‌های فاجعه‌بار می بود. او فهمید شد که کد مربوط به صفحه ورود به پورتال در مرورگر کاربر بارگذاری می‌شود. این شرایط به او اجازه داد تا با دستکاری این کد، سیستم امنیتی را دور بزند و برای خود یک حساب کاربری با بیشترین سطح دسترسی، یعنی National Admin تشکیل کند.

صدمه‌پذیری خطرناک در پورتال خودروساز بزرگ

این حساب کاربری درهای یک صندوق گنج عظیم از اطلاعات و قابلیت‌های خطرناک را به روی او باز کرد. او به همه داده‌های بیشتر از هزار نمایندگی در سراسر آمریکا، از جمله اطلاعات مالی و لید‌های فروش آنها، دسترسی اشکار کرد. این چنین او با منفعت گیری از یک ابزار جستجوی داخلی می‌توانست فقط با داشتن نام و نام خانوادگی یک مشتری یا شماره شناسایی ماشین (که به‌راحتی از روی شیشه جلوی ماشین قابل خواندن است) به همه اطلاعات شخصی مالک و جزئیات خودروی او دسترسی اشکار کند.

خطرناک‌ترین قسمت این نفوذ، قابلیت جفت‌کردن خودروها با یک حساب موبایل تازه می بود. این کار به هکر اجازه می‌داد تا از طریق اپلیکیشن، کنترل برخی از عملکردهای ماشین، از جمله بازکردن قفل درها را به دست آورد. زویر این قابلیت را با رضایت یکی از دوستانش با پیروزی روی اتومبیل او آزمایش کرد. این پورتال این چنین امکان ردیابی زنده خودروهای اجاره‌ای یا درحال حمل‌ونقل را فراهم می‌کرد.

زویر می‌گوید: « این که می‌توانستم تنها با دانستن نام یک نفر، کنترل خودروی او را به دست بگیرم، مقداری مرا ترساند.»

این صدمه‌پذیری حتی از این هم عمیق‌تر می بود. به علت منفعت گیری از سیستم «ورود یکپارچه» (Single Sign-On) زویر می‌توانست از طریق این پورتال به دیگر سیستم‌های متصل نیز دسترسی اشکار کند. علاوه‌براین، یک قابلیت داخلی به او اجازه می‌داد تا هویت هر کارمند فرد دیگر را در سیستم جعل کند و بدون نیاز به رمز عبور، از همه اختیارات او منفعت ببرد. زویر این ویژگی را یک «کابوس امنیتی در انتظار وقوع» توصیف می‌کند.

بعد از گزارش این صدمه‌پذیری‌ها توسط زویر، این خودروساز (که نام آن آشکار نشده اما به گفتن یک برند بزرگ با چندین زیرمجموعه محبوب توصیف شده) توانست در عرض یک هفته در فوریه ۲۰۲۵ این حفره‌های امنیتی را رفع کند. آنها اظهار کردند که هیچ شواهدی مبنی بر سوءاستفاده از این صدمه‌پذیری‌ها پیش از گزارش زویر اشکار نکرده‌اند.