Ένας ερευνητής ασφάλειας δήλωσε ότι τα ελαττώματα στη διαδικτυακή πύλη ενός κατασκευαστή αυτοκινήτων εξέθεσαν τις προσωπικές πληροφορίες και τα δεδομένα των οχημάτων των πελατών του και θα μπορούσαν να επιτρέψουν σε χάκερ να εισβάλουν εξ αποστάσεως σε οποιοδήποτε από αυτά.
Ο Eaton Zveare, ο οποίος εργάζεται ως ερευνητής ασφάλειας στην εταιρεία παροχής λογισμικού Harness, δήλωσε στο TechCrunch ότι το ελάττωμα που ανακάλυψε επέτρεπε τη δημιουργία ενός λογαριασμού διαχειριστή που παρείχε «απεριόριστη πρόσβαση» στην κεντρική διαδικτυακή πύλη του ανώνυμου κατασκευαστή αυτοκινήτων.
Με αυτή την πρόσβαση, ένας κακόβουλος χάκερ θα μπορούσε να δει τα προσωπικά και οικονομικά δεδομένα των πελατών της αυτοκινητοβιομηχανίας, να παρακολουθήσει τα οχήματα και να εγγράψει τους πελάτες σε λειτουργίες που επιτρέπουν στους ιδιοκτήτες — ή στους χάκερ — να ελέγχουν ορισμένες από τις λειτουργίες του αυτοκινήτου τους από οπουδήποτε.
Ο Zveare δήλωσε ότι δεν σκοπεύει να κατονομάσει τον προμηθευτή, αλλά είπε ότι πρόκειται για έναν ευρέως γνωστό κατασκευαστή αυτοκινήτων με αρκετές δημοφιλείς υπομάρκες.
Ο Zveare, ο οποίος έχει εντοπίσει στο παρελθόν σφάλματα στα συστήματα πελατών και στα συστήματα διαχείρισης οχημάτων των αυτοκινητοβιομηχανιών, ανακάλυψε το ελάττωμα νωρίτερα μέσα στη χρονιά
Ανέφερε ότι ενώ τα κενά ασφαλείας στο σύστημα σύνδεσης του portal ήταν δύσκολο να εντοπιστούν, μόλις τα βρήκε, τα σφάλματα του επέτρεψαν να παρακάμψει εντελώς τον μηχανισμό σύνδεσης, επιτρέποντάς του να δημιουργήσει έναν νέο λογαριασμό «εθνικού διαχειριστή».
Τα κενά ήταν προβληματικά επειδή ο ελαττωματικός κώδικας φορτωνόταν στον browser του χρήστη κατά το άνοιγμα της σελίδας σύνδεσης του portal, επιτρέποντας στον χρήστη — στην περίπτωση αυτή, τον Zveare — να τροποποιήσει τον κώδικα για να παρακάμψει τους ελέγχους ασφαλείας σύνδεσης. Ο Zveare είπε στο TechCrunch ότι η αυτοκινητοβιομηχανία δεν βρήκε στοιχεία για προηγούμενη εκμετάλλευση, υποδηλώνοντας ότι ήταν ο πρώτος που το εντόπισε.
