Cercetătorii în securitate cibernetică au descoperit vulnerabilități critice în portalul dealerilor Kia, permițând atacatorilor să localizeze și să fure milioane de mașini Kia fabricate după 2013, folosind doar numărul de înmatriculare al vehiculului vizat. Aceste vulnerabilități au expus, de asemenea, informațiile personale sensibile ale proprietarilor de mașini.
TL;DR
- Vulnerabilități critice în portalul dealerilor Kia
- Permite localizarea și furtul mașinilor Kia fabricate după 2013
- Informațiile personale ale proprietarilor au fost expuse
- Vulnerabilitățile au fost remediate
Vulnerabilități critice în portalul dealerilor Kia
Un grup de cercetători în securitate cibernetică a descoperit vulnerabilități grave în portalul dealerilor Kia, care permit hackerilor să localizeze și să fure milioane de mașini Kia fabricate după 2013, folosind doar numărul de înmatriculare al vehiculului vizat. Cercetătorul Sam Curry a dezvăluit că vulnerabilitățile portalului web Kia, descoperite pe 11 iunie 2024, pot fi exploatate pentru a controla orice vehicul Kia echipat cu hardware de la distanță în mai puțin de 30 de secunde, „indiferent dacă avea sau nu un abonament activ Kia Connect”.
Expunerea informațiilor personale
Pe lângă controlul vehiculelor, aceste vulnerabilități au expus și informațiile personale sensibile ale proprietarilor de mașini, inclusiv numele, numărul de telefon, adresa de email și adresa fizică. Atacatorii ar fi putut să se adauge ca al doilea utilizator al vehiculului vizat, fără cunoștința proprietarului.
Remediere
Pentru a demonstra problema, echipa a construit un instrument care permite unui atacator să introducă numărul de înmatriculare al unui vehicul și, în mai puțin de 30 de secunde, să îl blocheze sau deblocheze de la distanță, să pornească sau să oprească motorul, să claxoneze sau să localizeze vehiculul. Cercetătorii au înregistrat un cont de dealer pe portalul kiaconnect.kdealer.com pentru a accesa aceste informații. După autentificare, au generat un token de acces valid care le-a oferit acces la API-urile backend ale dealerilor, oferindu-le detalii critice despre proprietarul vehiculului și acces complet la controalele de la distanță ale mașinii.
Cum vă protejați
Pentru a vă proteja de astfel de vulnerabilități, este esențial să vă asigurați că software-ul vehiculului este mereu actualizat. Fiți atenți la notificările de securitate din partea producătorului auto și schimbați parolele conturilor asociate vehiculului în mod regulat. Nu împărtășiți informațiile personale sensibile cu terțe părți și raportați imediat orice comportament suspect către dealerul auto.