Një studiues i sigurisë ka thënë se dobësitë në portalin online të një prodhuesi makinash për shitësit e autorizuar ekspozuan informacionet private dhe të dhënat e automjeteve të klientëve të tij, dhe mund të kishin lejuar hakerët të hapnin në distancë çdo automjet të klientëve të tij.
Eaton Zveare, i cili punon si studiues sigurie në kompaninë e shpërndarjes së softuerëve Harness, i tha TechCrunch se dobësia që ai zbuloi lejonte krijimin e një llogarie administratori që siguronte “akses të pakufizuar” në portalin qendror të prodhuesit të makinave.
Me këtë akses, një haker i keqmundshëm mund të shihte të dhënat personale dhe financiare të klientëve, të gjurmonte automjete dhe të aktivizonte funksione që u lejonin pronarëve — ose hakerëve — të kontrollonin disa funksione të makinës nga distanca.
Zveare nuk e ka bërë publik emrin e prodhuesit, por ka thënë se bëhet fjalë për një markë të njohur me disa nënbrande të njohura.
Në një intervistë përpara prezantimit të tij në konferencën e sigurisë Def Con në Las Vegas, ai tha se këto probleme nxjerrin në pah sigurinë e dobët të sistemeve të shitësve, të cilat u japin punonjësve dhe bashkëpunëtorëve akses të gjerë në të dhënat e klientëve dhe automjeteve.
Ai e gjeti dobësinë më herët këtë vit, gjatë një projekti fundjave, duke zbuluar se kodet me probleme ngarkoheshin drejtpërdrejt në shfletuesin e përdoruesit kur hapej faqja e hyrjes, gjë që e lejonte të modifikonte kodin për të anashkaluar kontrollin e sigurisë dhe për të krijuar një llogari “kombëtare admin”.
Kur hynte në sistem, kjo llogari siguronte akses në mbi 1,000 shitës të prodhuesit në mbarë SHBA. Ai gjeti edhe një mjet kombëtar kërkimi që mundësonte identifikimin e një automjeti dhe pronarit të tij vetëm duke ditur numrin unik të identifikimit (VIN) ose emrin dhe mbiemrin e klientit.
Me këtë akses, ishte gjithashtu e mundur të çiftëzohej çdo makinë me një llogari mobile, duke lejuar hapjen ose kontrollin e funksioneve të tjera nga aplikacioni. Zveare e testoi këtë me pëlqimin e një miku, duke treguar se sistemi kërkonte vetëm një “premtim” që kërkesa ishte legjitime.
Dobësia gjithashtu lejonte hyrjen në sisteme të tjera të shitësve përmes single sign-on, si dhe funksionin për të “imituar” llogaritë e përdoruesve të tjerë pa pasur nevojë për kredencialet e tyre.
Ai gjeti të dhëna personale, informacione financiare dhe të dhëna telematike për vendndodhjen në kohë reale të automjeteve me qira ose në transport, si dhe opsionin për t’i anuluar — të cilin nuk e testoi.
Defektet u rregulluan brenda një jave në shkurt 2025, pasi Zveare i raportoi ato.
“Mësimi kryesor është se vetëm dy dobësi të thjeshta API e hapën plotësisht sistemin, dhe gjithmonë lidhen me autentikimin. Nëse gabon aty, gjithçka tjetër bie,” tha ai.
