Bir otomobil üreticisinin web portalındaki güvenlik açıkları, bir bilgisayar korsanının herhangi bir yerden otomobillerin kilidini uzaktan açmasına olanak sağladı. Bir güvenlik araştırmacısı, bir otomobil üreticisinin çevrimiçi bayi portalındaki açıkların, müşterilerinin özel bilgilerini ve araç verilerini ifşa ettiğini ve bilgisayar korsanlarının müşterilerinin araçlarına uzaktan girmesine olanak sağlamış olabileceğini söyledi.
Otomobil kilidi uzaktan erişim ile kontrol ediliyor
Yazılım dağıtım şirketi Harness’ta güvenlik araştırmacısı olarak çalışan Eaton Zveare yaptığı açıklamada, keşfettiği açığın, ismi açıklanmayan otomobil üreticisinin merkezi web portalına “sınırsız erişim” sağlayan bir yönetici hesabı oluşturulmasına olanak sağladığını söyledi. Kötü niyetli bir bilgisayar korsanı, bu erişim sayesinde otomobil üreticisinin müşterilerinin kişisel ve finansal verilerini görüntüleyebilir, araçları takip edebilir ve müşterileri, sahiplerinin veya bilgisayar korsanlarının araçlarının bazı fonksiyonlarını her yerden kontrol etmelerine olanak tanıyan özelliklere kaydedebilir.
Zveare, satıcının ismini açıklamayı planlamadığını ancak bunun çok sayıda popüler alt markası olan, yaygın olarak bilinen bir otomobil üreticisi olduğunu söyledi. Zveare, Las Vegas’ta düzenlenen Def Con güvenlik konferansındaki konuşması öncesinde erdiği röportajda, söz konusu hataların, çalışanlarına ve çalışanlarına müşteri ve araç bilgilerine geniş erişim sağlayan bayi sistemlerinin güvenliğini gözler önüne serdiğini söyledi. Daha önce otomobil üreticilerinin müşteri sistemlerinde ve araç yönetim sistemlerinde hatalar bulan Zveare, TechCrunch’a yaptığı açıklamada, bu açığı bu yılın başlarında bir hafta sonu projesi kapsamında bulduğunu söyledi.
Portalın giriş sistemindeki güvenlik açıklarını bulmanın zor olduğunu, ancak bulduğunda bu açıkların kendisine yeni bir “ulusal yönetici” hesabı oluşturma olanağı sağlayarak giriş mekanizmasını tamamen atlatmasına olanak sağladığını söyledi.
Kusurlar, portalın giriş sayfasını açarken kullanıcının tarayıcısına yüklenen hatalı kod nedeniyle sorunluydu ve bu da kullanıcının (bu durumda Zveare) giriş güvenlik kontrollerini atlatmak için kodu değiştirmesine olanak tanıyordu. Zveare yaptığı açıklamada, otomobil üreticisinin geçmişte herhangi bir istismara dair kanıt bulamadığını ve bunu ilk bulan ve otomobil üreticisine bildiren kişinin kendisi olduğunu söyledi.