Lỗ hổng bảo mật trên cổng thông tin web của một nhà sản xuất ô tô cho phép một hacker mở khóa xe từ xa ở bất cứ đâu.

Một nhà nghiên cứu bảo mật, Eaton Zveare từ Harness, đã phát hiện ra các lỗ hổng bảo mật nghiêm trọng trong cổng thông tin đại lý trực tuyến của một nhà sản xuất ô tô lớn, khiến thông tin khách hàng cá nhân và dữ liệu xe bị lộ. Các lỗ hổng này cho phép tạo ra một tài khoản “quản trị viên quốc gia” không được phép, cấp quyền truy cập đầy đủ vào cổng thông tin tập trung được hơn 1.000 đại lý trên toàn nước Mỹ sử dụng. Quyền truy cập này cho phép hacker xem dữ liệu cá nhân và tài chính nhạy cảm, theo dõi xe, và đăng ký khách hàng vào các tính năng điều khiển từ xa các chức năng của xe, chẳng hạn như mở khóa cửa qua ứng dụng di động. Các lỗi này bắt nguồn từ mã lỗi được tải trong trình duyệt người dùng trên trang đăng nhập, mà Zveare đã khai thác để hoàn toàn vượt qua xác thực. Zveare đã chứng minh cách công cụ tra cứu người tiêu dùng quốc gia của cổng thông tin có thể xác định chủ sở hữu xe chỉ với thông tin tối thiểu, chẳng hạn như số nhận dạng xe (VIN) được công khai hoặc chỉ tên khách hàng. Anh cũng cho thấy việc chuyển quyền kiểm soát xe sang một tài khoản di động khác chỉ cần một xác nhận đơn giản, khiến việc chiếm đoạt trái phép trở nên khả thi. Mặc dù anh không thử lái các phương tiện,