Исследователь информационной безопасности Итон Звэр обнаружил уязвимость в системе онлайн‑доступа для автодилеров одной из крупнейших в мире автомобильных компаний мира, которая позволяла получить полный доступ к внутреннему порталу — это давало возможность получать доступ к конфиденциальным данным и даже разблокировать автомобили.
Уязвимость была обнаружена случайно — исследователь наткнулся на неё во время выполнения личного проекта на выходных. Он выяснил, что при загрузке страницы авторизации в системе браузер клиента подгружает некорректный код. Этот код можно было изменить в обход систем аутентификации, благодаря чему злоумышленник мог бы создать аккаунт «национального администратора». Такие права учётной записи дают доступ более чем к тысяче дилерских точек по всей территории США.
Помимо прочего, уязвимость позволяла отслеживать служебные и транспортируемые машины в режиме реального времени и отменять отправки автомобиля. Кроме того, потенциальный хакер мог бы получить доступ к данным поиска информации о клиентах, для которого необходимо знать лишь имя и фамилию — этих данных было бы достаточно, чтобы связать человека с конкретным автомобилем. Также уязвимость позволяла начать процедуру передачи машины под контроль другого пользователя, говорит Звэр. Этот сценарий исследователь опробовал на машине своего друга, благодаря чему ему удалось получить доступ к системам автомобиля через мобильное приложение.
Исследователь отметил, что проблемы могли возникнуть и с функцией входа в связанные системы других дилеров через единый логин. Учётная запись администратора могла имитировать вход под другим пользователем благодаря механизму SSO (Single Sign‑On). В результате злоумышленники могли бы получить доступ к правам, данным и системам без ведома сотрудника компании.
Звэр не раскрывает, в системе какого автопроизводителя была найдена уязвимость. По словам исследователя, он лично сообщил о проблеме сотрудникам компании, после чего те в течение недели устранили эксплойт. Ранее уязвимость никем не использовалась — Звэр оказался первым, кто обнаружил проблему, показало расследование.
