• 11 июня в 10:20

Уязвимость в дилерском портале дала полный контроль над чужими машинами.

В системе онлайн-доступа для автодилеров одной из крупнейших мировых автомобильных компаний найдена уязвимость — достаточно было немного покопаться в коде страницы. Исследователь безопасности Итон Звэр из компании Harness сообщил, что с помощью найденной уязвимости смог создать административную учётную запись с полными правами доступа ко внутреннему порталу производителя. Брешь позволяла получить конфиденциальные данные клиентов, информацию о транспортных средствах и даже удалённо управлять функциями автомобилей — вплоть до их разблокировки.

Звэр, ранее уже находивший ошибки в системах автопроизводителей, обнаружил проблему случайно — как часть личного проекта на выходных. Он выяснил, что при загрузке страницы входа в систему, в браузере клиента подгружался некорректный код, который можно было изменить, обходя все механизмы аутентификации. После этого становилось возможным создать учётную запись «национального администратора», дающую доступ более чем к тысяче дилерских точек по всей территории США.

Через этот интерфейс можно было просматривать личные данные клиентов, включая контактную и частично финансовую информацию, а также управлять связанными с автомобилями сервисами. В числе прочего — отслеживание в реальном времени служебных и транспортируемых машин, использование телематических систем и даже отмена отправок автомобилей.

Одним из наиболее тревожных элементов в системе стал инструмент поиска клиентов, в котором достаточно было знать имя и фамилию, чтобы получить доступ к информации о конкретном автомобиле и его владельце. Звэр в качестве примера использовал VIN-номер машины, припаркованной на улице, и подтвердил, что этого было достаточно, чтобы связать автомобиль с конкретным человеком. По его словам, можно было инициировать процедуру передачи машины под контроль другого пользователя — достаточно было лишь подтвердить своё намерение, без какой-либо верификации. Он испытал этот сценарий с согласия своего друга и фактически получил возможность управлять чужим автомобилем через мобильное приложение.

Не менее опасной оказалась возможность входа в связанные системы других дилеров через единый логин. Благодаря механизму SSO (Single Sign-On), созданная учётная запись администратора могла не только перемещаться между различными частями инфраструктуры, но и имитировать вход под другим пользователем. Это позволяло без ведома целевого сотрудника получить доступ к его правам, данным и системам — аналогичный механизм ранее обнаруживался в портале дилеров Toyota.

Исследователь назвал такую архитектуру настоящей «бомбой замедленного действия», подчёркивая, что пользователи могли незаметно просматривать и использовать критически важную информацию, включая сделки, лиды и внутреннюю аналитику. Сообщается, что после приватного раскрытия проблемы в феврале 2025 года компания устранила уязвимость в течение недели. При этом расследование показало, что ранее эксплойт не использовался — Звэр, по-видимому, оказался первым, кто обнаружил и сообщил о дырах в системе.

По словам Звэра, корень проблемы снова оказался в банальном: сбои в системе аутентификации API. Всего две уязвимости открыли весь внутренний мир дилерской сети. Звэр считает, что это очередное напоминание: как только контроль за доступом рушится — рушится всё.