Saugumo tyrėjas teigė, kad „Carmaker“ internetinio atstovybės portalo trūkumai atskleidė savo klientų privačią informaciją ir transporto priemonių duomenis ir galėjo leisti įsilaužėliams nuotoliniu būdu įsilaužti į bet kurią savo klientų transporto priemones.
„Eaton Zveare“, kuris dirba saugumo tyrinėtoju „Software Pristatymo įmonės pakinke“, „TechCrunch“ pasakojo apie trūkumą, kurį, jo manymu, leido sukurti administratoriaus paskyrą, kuri suteikė „nevaržomą prieigą“ bevardžiam automobilių gamintojo centralizuotam interneto portalui.
Turėdamas šią prieigą, kenkėjiškas įsilaužėlis galėjo peržiūrėti asmeninius ir finansinius „Carmaker“ klientų duomenis, sekti transporto priemones ir įtraukti klientus į funkcijas, leidžiančias savininkams ar įsilaužėliams kontroliuoti kai kurias savo automobilio funkcijas iš bet kurios vietos.
„Zveare“ teigė, kad neplanuoja įvardyti pardavėjo, tačiau teigė, kad tai buvo plačiai žinomas automobilių gamintojas, turintis keletą populiarių prekės ženklų.
Sekmadienį Las Vegase „DEF Con“ saugumo konferencijoje Las Vegase „TechCrunch“ interviu „Zveare“ teigė, kad klaidos atkreipė dėmesį į šių prekybos atstovų sistemų saugumą, kuris suteikia savo darbuotojams ir siejantiems plačiai prieigą prie klientų ir transporto priemonių informacijos.
„Zveare“, kuris anksčiau rado klaidų „Carmakers“ klientų ir transporto priemonių valdymo sistemose, šiais metais anksčiau rado trūkumą kaip savaitgalio projekto dalį, jis pasakojo „TechCrunch“.
Jis sakė, kad nors „Portal“ prisijungimo sistemos saugumo trūkumai buvo iššūkis surasti, kai jis jį rado, klaidos leido jam visiškai apeiti prisijungimo mechanizmą, leisdama jam sukurti naują „National Admin“ paskyrą.
Trūkumai buvo problemiški, nes „Buggy“ kodas, įkeltas į vartotojo naršyklę, atidarant portalo prisijungimo puslapį, leisdamas vartotojui – šiuo atveju „ZVeare“ – modifikuoti kodą, kad būtų galima apeiti prisijungimo saugos patikrinimus. „Zveare“ sakė „TechCrunch“, kad automobilių gamintojas nerado jokių ankstesnio išnaudojimo įrodymų, ir tai rodo, kad jis pirmasis jį surado ir pranešė apie tai automobilių gamintojui.
Prisijungęs sąskaitoje buvo suteikta galimybė patekti į daugiau nei 1000 automobilių gamintojų prekiautojų visoje JAV, jis sakė „TechCrunch“.
„Niekas net nežino, kad jūs tiesiog tyliai žiūrite į visus šių prekiautojų duomenis, visus jų finansus, visus savo asmeninius dalykus, visus savo potencialius klientus“, – apibūdindama prieigą sakė Zveare.
„Zveare“ teigė, kad vienas iš dalykų, kuriuos jis rado prekybos atstovų portale, buvo nacionalinis vartotojų paieškos įrankis, leidžiantis prisijungti prie portalo vartotojams ieškoti to automobilio gamintojo transporto priemonės ir vairuotojo duomenų.
Viename realaus pasaulio pavyzdyje „Zveare“ paėmė unikalų transporto priemonės identifikavimo numerį iš automobilio priekinio stiklo viešoje automobilių stovėjimo aikštelėje ir panaudojo numerį automobilio savininkui nustatyti. „Zveare“ teigė, kad įrankis gali būti naudojamas ieškant asmens, naudojant tik pirmąjį kliento pavadinimą.
Turėdamas prieigą prie portalo, „Zveare“ teigė, kad taip pat įmanoma suporuoti bet kurią transporto priemonę su mobilia sąskaita, kuri klientams leidžia nuotoliniu būdu valdyti kai kurias savo automobilio funkcijas iš programos, pavyzdžiui, atrakinti savo automobilius.
Zveare'as teigė, kad tai išbandė realiame pasaulyje, naudodamas draugo sąskaitą ir gavęs jų sutikimą. Perkeldamas nuosavybės teises į „Zveare“ kontroliuojamą sąskaitą, jis teigė, kad portalui reikia tik atestacijos – iš tikrųjų rausvų pažadų – kad sąskaitos perdavimo vartotojas yra teisėtas.
„Savo tikslams aš ką tik gavau draugą, kuris sutiko, kad perimti jų automobilį, ir aš su tuo važiavau“, – „TechCrunch“ pasakojo Zveare. „Bet (portalas) iš esmės galėtų tai padaryti bet kam, tiesiog žinodamas jų vardą-kuris mane šiek tiek keikia-arba aš galėčiau tiesiog ieškoti automobilio automobilių stovėjimo aikštelėse“.
Zveare'as teigė neišbandęs, ar jis gali nuvažiuoti, tačiau teigė, kad vagys gali išnaudoti išnaudojimą, kad galėtų įsilaužti ir pavogti daiktus iš transporto priemonių.
Kita pagrindinė prieigos prie šio „Carmaker“ portalo problema buvo ta, kad buvo įmanoma pasiekti kitų prekiautojų sistemas, susietas su tuo pačiu portalu per „Single“ prisijungimą-funkciją, leidžiančią vartotojams prisijungti prie kelių sistemų ar programų, turinčių tik vieną prisijungimo kredencialų rinkinį. „Zveare“ teigė, kad „Carmaker“ sistemos pardavėjams yra sujungtos, todėl lengva pereiti iš vienos sistemos į kitą.
Pasak jo, portale taip pat buvo funkcija, leidžianti administratoriams, tokiems kaip jo sukurta vartotojo abonementas, „apsimesti“ kitiems vartotojams, efektyviai leisti prieigą prie kitų prekiautojų sistemų, tarsi jie būtų tas vartotojas, nereikalaujant savo prisijungimo. „Zveare“ teigė, kad tai buvo panaši į funkciją, rastą „Toyota“ pardavėjų portale, aptiktame 2023 m.
„Jie tik laukia saugumo košmarų“,-sakė Zveare, kalbėdamas apie vartotojo impulsavimo funkciją.
Kartą portale „Zveare“ rado asmeniškai identifikuojamus klientų duomenis, tam tikrą finansinę informaciją ir telematikos sistemas, leidžiančias realiu laiku stebėti nuomos ar mandagumo automobilius, taip pat automobilius, kurie buvo gabenami visoje šalyje, ir galimybė juos atšaukti-„Zveare“ nemėgino.
„Zveare“ sakė, kad klaidos užtruko maždaug savaitę, kad būtų ištaisyta 2025 m. Vasario mėn. Netrukus po jo atskleidimo automobilių gamintojui.
„Takeaway yra tai, kad tik du paprasti API pažeidžiamumai sprogdino duris, ir tai visada yra susiję su autentifikavimu“, – sakė Zveare. „Jei ketinate suklysti, tada viskas tiesiog krenta“.
