Falhas de segurança no portal da Web de uma montadora Deixe um hacker remotamente desbloquear carros de qualquer lugar

Um pesquisador de segurança disse que as falhas no portal de concessionárias on -line de uma montadora expuseram os dados privados de informações e veículos de seus clientes e poderiam ter permitido que os hackers invadissem remotamente qualquer veículo de seus clientes. A Eaton Zveare, que trabalha como pesquisadora de segurança na empresa de entrega de software Harness, disse ao TechCrunch que a falha que descobriu permitiu a criação de uma conta administrativa que concedeu “acesso sem restrições” ao portal da web centralizado da montadora. Com esse acesso, um hacker malicioso poderia ter visto os dados pessoais e financeiros dos clientes da montadora, rastrear veículos e matricular clientes em recursos que permitem que os proprietários – ou os hackers – controlem algumas das funções de seu carro de qualquer lugar. Zveare disse que não planeja nomear o fornecedor, mas disse que era uma montadora amplamente conhecida com várias sub-marcas populares. Em uma entrevista ao TechCrunch antes de sua palestra na Conferência de Segurança da Def Con em Las Vegas no domingo, Zveare disse que os bugs destacam a segurança desses sistemas de concessionária, que concedem a seus funcionários e associam amplo acesso a informações de clientes e veículos. Zveare, que já encontrou insetos nos sistemas de clientes e sistemas de gerenciamento de veículos das montadoras antes, encontrou a falha no início deste ano como parte de um projeto de fim de semana, disse ele ao TechCrunch. Ele disse que, embora as falhas de segurança no sistema de login do portal fosse um desafio a encontrar, uma vez que ele o encontrou, os bugs o deixaram ignorar completamente o mecanismo de login, permitindo que ele criasse uma nova conta de “Admin Nacional”. As falhas foram problemáticas porque o código de buggy carregado no navegador do usuário ao abrir a página de login do portal, permitindo que o usuário – nesse caso, ZVeare – modifique o código para ignorar as verificações de segurança de login. Zveare disse ao TechCrunch que a montadora não encontrou evidências de exploração passada, sugerindo que ele foi o primeiro a encontrá -lo e denunciá -lo à montadora. Quando conectado, a conta concedeu acesso a mais de 1.000 dos revendedores das montadoras nos Estados Unidos, disse ele ao TechCrunch. “Ninguém sabe que você está apenas olhando silenciosamente para todos os dados desses revendedores, todas as suas finanças, todas as suas coisas particulares, todos os seus leads”, disse Zveare, ao descrever o acesso. Zveare disse que uma das coisas que ele encontrou dentro do portal da concessionária era uma ferramenta nacional de pesquisa de consumidores que permitia que os usuários de portal conectados procurassem os dados do veículo e do motorista dessa montadora. Em um exemplo do mundo real, Zveare pegou o número de identificação exclusivo de um veículo do para-brisa de um carro em um estacionamento público e usou o número para identificar o proprietário do carro. Zveare disse que a ferramenta pode ser usada para procurar alguém usando apenas o primeiro e o sobrenome de um cliente. Com o acesso ao portal, a ZVeare disse que também era possível emparelhar qualquer veículo com uma conta móvel, que permite que os clientes controlem remotamente algumas das funções de seu carro de um aplicativo, como desbloquear seus carros. Zveare disse que tentou isso em um exemplo do mundo real usando a conta de um amigo e com o consentimento deles. Ao transferir a propriedade para uma conta controlada pela ZVeare, ele disse que o portal requer apenas um atestado – efetivamente uma promessa mindinha – que o usuário que executa a transferência de conta é legítimo. “Para meus propósitos, acabei de receber um amigo que me consentiu em assumir o carro deles, e corri com isso”, disse Zveare à TechCrunch. “Mas [the portal] poderia basicamente fazer isso com qualquer pessoa apenas sabendo o nome deles-o que meio que me assusta um pouco-ou eu poderia apenas olhar um carro nos estacionamentos. ” ZVeare disse que não testou se poderia ir embora, mas disse que a exploração pode ser abusada por ladrões para invadir e roubar itens de veículos, por exemplo. Os revendedores são todos interconectados, por isso é fácil pular de um sistema para outro. O ZVEARE, falando sobre o recurso de tração do usuário. Para a montadora.

Fonte