В шокирующем инциденте в сфере кибербезопасности, который должен ужаснуть каждого американца, ведущий исследователь в области безопасности рассказал, как он получил «неограниченный доступ» к дилерскому порталу крупного автопроизводителя , что потенциально позволяет хакерам удаленно угонять транспортное средство любого клиента из любой точки мира.
Итон Звеаре, исследователь по безопасности в компании по поставке программного обеспечения Harness, сделал тревожное заявление для TechCrunch, объяснив, как разрушительная уязвимость могла позволить киберпреступникам получать доступ к личным и финансовым данным жертв, отслеживать их транспортные средства в режиме реального времени и даже захватывать полный контроль над транспортными средствами из любой точки мира.
Хотя Звеаре отказался назвать уязвимого автопроизводителя, он подтвердил, что это популярная автомобильная компания, управляющая несколькими брендами под своей корпоративной крышей, а это значит, что под угрозой могли оказаться миллионы американцев.
TechCrunch сообщает:
Звеаре, который ранее находил ошибки в клиентских системах и системах управления транспортными средствами автопроизводителей , сообщил TechCrunch, что нашел уязвимость в начале этого года в ходе проекта, работая за выходные.
По его словам, хотя обнаружить уязвимости безопасности в системе входа на портал было непросто, как только он их обнаружил, ошибки позволили ему полностью обойти механизм входа , создав новую учетную запись «национального администратора».
Проблема заключалась в том, что при открытии страницы входа на портал в браузер пользователя загружался ошибочный код , что позволяло пользователю (в данном случае Звеару) изменять код, чтобы обойти проверки безопасности входа.
« Никто даже не знает, что вы просто молча просматриваете все данные этих дилеров, все их финансы, все их личные данные, все их наводки », — заявил Звеаре новостному изданию в своем скандальном интервью.
Исследователь продемонстрировал ужасающий потенциал взлома, объяснив: «Для моих целей я просто взял друга, который согласился, чтобы я забрал его машину, и я этим воспользовался. Но [портал] мог сделать то же самое с кем угодно, просто зная его имя — что меня немного пугает — или я мог просто поискать машину на парковках».
« Это просто кошмары в области безопасности, которые только и ждут, чтобы случиться », — добавил он, подчеркнув уязвимости всей отрасли, которые могут сделать американские семьи уязвимыми для кибератак.
К счастью, автопроизводитель отреагировал оперативно после получения уведомления, и Звеаре подтвердил, что критические уязвимости были устранены в течение одной недели в феврале 2025 года.
«Вывод таков: всего две простые уязвимости API открыли двери, и это всегда связано с аутентификацией», — сказал Звеаре. «Если вы допустите ошибку, всё просто рухнет».
Это открытие подчеркивает растущую угрозу кибервойны, направленной против критической инфраструктуры Америки, и ставит серьезные вопросы о том, предпринимает ли наша автомобильная промышленность достаточно усилий для защиты американцев от хакеров.
Комментариев нет:
Отправить комментарий