Eaton Zveare experto en seguridad de la empresa de software Harness acaba de descubrir una grave vulnerabilidad en el portal de informacion para concesionarios de un fabricante de automoviles que hace que los datos personales y la informacion del coche de los clientes se revelen y al mismo tiempo pueden permitir a los hackers controlar el coche de forma remota segun Techcrunch.
Eaton Zveare dijo que la vulnerabilidad permite crear una cuenta de administrador con acceso ilimitado al sistema web centralizado del fabricante de automoviles. Los malhechores pueden ver datos personales financieros rastrear la ubicacion del automovil e incluso activar funciones de control remoto como la desbloqueacion.
Zveare descubrio el error a principios de este año en un proyecto personal. Aunque es dificil de encontrar una vez que se explota este error permite omitir por completo el paso de inicio de sesion para crear una cuenta de administrador nacional. La razon es que el codigo del error se descarga inmediatamente al abrir la pagina de inicio de sesion lo que permite la edicion para superar el mecanismo de autenticacion. Aunque la empresa de automoviles no fue nombrada por razones de seguridad segun la empresa no hay indicios de que la vulnerabilidad haya sido explotada anteriormente.
Con acceso a los datos Zveare puede acceder a los datos de mas de 1.000 concesionarios en Estados Unidos buscar informacion sobre el coche y el propietario solo por nombre o numero de VIN. Este experto ha probado el coche de un amigo y ha descubierto que el sistema solo requiere una confirmacion verbal para transferir los derechos de propiedad de la cuenta.
El portal de informacion tambien permite iniciar sesion una vez para acceder al sistema de otros concesionarios y tambien tiene una funcion para hacerse pasar por otros usuarios sin contraseña. Esto es similar a un error que se detecto en el sistema de Toyota en 2023.
Dentro del sistema Zveare encuentra datos de identificacion informacion financiera la capacidad de rastrear la ubicacion en tiempo real de los coches de alquiler coches de servicio o en transito e incluso la opcion de cancelar ordenes de transporte.
Actualmente el fabricante de automoviles ha solucionado el error al recibir el informe en febrero de 2025. Zveare advierte: 'Solo 2 vulnerabilidades API simples son suficientes para romper la puerta de la seguridad'.
