یک پژوهشگر امنیتی اعلام کرد نقصهایی در پورتال آنلاین نمایندگی یک خودروساز، اطلاعات شخصی و دادههای مربوط به خودروهای مشتریان آن را افشا کرده و میتوانست به هکرها امکان دهد از راه دور به هر یک از خودروهای مشتریان نفوذ کنند.
ایتون زویر، پژوهشگر امنیتی در شرکت ارائهدهنده نرمافزار Harness، به وبسایت تککرانچ گفت نقصی که کشف کرده، امکان ایجاد یک حساب کاربری مدیر را فراهم میکرد که «دسترسی نامحدود» به پورتال وب مرکزی این خودروساز ناشناس میداد.
با چنین دسترسیای، یک هکر مخرب میتوانست دادههای شخصی و مالی مشتریان این خودروساز را مشاهده کند، خودروها را ردیابی کند و مشتریان را در قابلیتهایی ثبت نام کند که به مالکان — یا هکرها — امکان میدهد برخی از عملکردهای خودرو را از هر مکانی کنترل کنند.
زویر گفت قصد ندارد نام فروشنده را فاش کند، اما اشاره کرد که این شرکت، یک خودروساز شناختهشده با چندین زیر برند محبوب است.
او در مصاحبهای با تککرانچ پیش از سخنرانی خود در کنفرانس امنیتی Def Con در لاسوگاس در روز یکشنبه گفت این باگها توجهها را به امنیت این سامانههای نمایندگی جلب میکند؛ سامانههایی که به کارکنان و همکاران خود دسترسی گستردهای به اطلاعات مشتریان و خودروها میدهند.
زویر، که پیشتر نیز باگهایی را در سامانههای مشتریان و سامانههای مدیریت خودرو خودروسازان پیدا کرده بود، به تککرانچ گفت این نقص را اوایل امسال و در قالب یک پروژه آخر هفته پیدا کرده است.
او گفت هرچند یافتن نقصهای امنیتی در سامانه ورود به پورتال چالشبرانگیز بود، اما پس از پیدا کردن آن، این باگها به او اجازه دادند مکانیزم ورود را بهطور کامل دور بزند و یک حساب کاربری جدید با عنوان «مدیر ملی» ایجاد کند.
این نقصها مشکلساز بودند زیرا کد معیوب هنگام باز کردن صفحه ورود پورتال، در مرورگر کاربر بارگذاری میشد و به کاربر — در این مورد، زویر — اجازه میداد کد را تغییر دهد و بررسیهای امنیتی ورود را دور بزند. زویر به تککرانچ گفت خودروساز هیچ مدرکی از سوءاستفاده قبلی پیدا نکرده است، که نشان میدهد او اولین کسی بوده که این نقص را پیدا کرده و به خودروساز گزارش داده است.
او به تککرانچ گفت پس از ورود، این حساب کاربری دسترسی به بیش از ۱,۰۰۰ نمایندگی این خودروساز در سراسر ایالات متحده را فراهم میکرد.
زویر در توصیف این دسترسی گفت: «هیچکس حتی نمیداند که شما بیسروصدا دارید به تمام دادههای این نمایندگیها، تمام اطلاعات مالی، تمام چیزهای خصوصی و تمام سرنخهای فروش آنها نگاه میکنید.»
زویر گفت یکی از چیزهایی که داخل پورتال نمایندگی پیدا کرده، یک ابزار جستجوی ملی مشتریان بوده که به کاربران واردشده به پورتال اجازه میداده دادههای مربوط به خودرو و راننده مشتریان آن خودروساز را جستجو کنند.
