نجح باحث أمني في العثور على ثغرة أمنية في بوابة الويب الخاصة بشركة سيارات شهيرة، سمحت له بكشف معلومات خاصة وبيانات عملاء، كما أمكنه القيام بالدخول عن بعد إلى أي مركبة.

وقال إيتون زفييري، الذي يعمل باحثًا أمنيًا في شركة تسليم البرامج Harness، لموقع TechCrunch إن الخلل الذي اكتشفه سمح بإنشاء حساب مسؤول يمنح "وصولاً غير مقيد" إلى البوابة الإلكترونية المركزية لشركة صناعة السيارات التي لم يتم الكشف عن اسمها.

ومن خلال هذا الوصول، كان بإمكان أحد المتسللين الخبيثين الاطلاع على البيانات الشخصية والمالية لعملاء شركة صناعة السيارات، وتتبع المركبات، وتسجيل العملاء في الميزات التي تسمح للمالكين - أو المتسللين - بالتحكم في بعض وظائف سياراتهم من أي مكان.

وقال إنه لا يخطط لتسمية الشركة، لكنه قال إنها شركة صناعة سيارات معروفة على نطاق واسع مع العديد من العلامات التجارية الفرعية الشهيرة.

أمن أنظمة الوكالات

وأضاف زفياري إن الأخطاء سلطت الضوء على أمن أنظمة هذه الوكالات، والتي تمنح موظفيها وشركائها إمكانية الوصول على نطاق واسع إلى معلومات العملاء والمركبات مشيراً إلى أنه اكتشف الخلل في وقت سابق من هذا العام كجزء من مشروع في عطلة نهاية الأسبوع.

وعلى الرغم من أن العيوب الأمنية في نظام تسجيل الدخول الخاص بالبوابة كانت تحدياً للعثور عليها، إلا أنه بمجرد العثور عليها، سمحت له الأخطاء بتجاوز آلية تسجيل الدخول تماماً من خلال السماح له بإنشاء حساب "مسؤول وطني" جديد على حد قوله.

وقال إنه عند تسجيل الدخول، سمح الحساب بالوصول إلى أكثر من 1000 من وكلاء شركات صناعة السيارات في جميع أنحاء الولايات المتحدة.

وأوضح في مثال واقعي، أنه أخذ رقم تعريف لمركبة من الزجاج الأمامي لسيارة في موقف سيارات عام، واستخدم الرقم لتحديد هوية مالكها مشير إلى أن هذه الأداة يمكن استخدامها للبحث عن شخص ما باستخدام الاسم الأول والأخير للعميل فقط.

وقال زفياري إنه بفضل إمكانية الوصول إلى البوابة، أصبح من الممكن أيضًا ربط أي مركبة بحساب محمول، مما يسمح للعملاء بالتحكم عن بعد في بعض وظائف سياراتهم مثل فتح سياراتهم، لكنه لم يختبر ما إذا كان بإمكانه القيادة عن بعد.

ميزة في البوابة الإلكترونية

قال زفير إن البوابة الإلكترونية تتضمن ميزةً تُمكّن المشرفين، مثل حساب المستخدم الذي أنشأه، من انتحال هوية مستخدمين آخرين، مما يسمح لهم بالوصول إلى أنظمة الوكلاء الآخرين كما لو كانوا هم أنفسهم دون الحاجة إلى بيانات تسجيل الدخول الخاصة بهم، وبمجرد دخوله إلى البوابة، عثر زفياري على بيانات شخصية للعملاء، وبعض المعلومات المالية، وأنظمة الاتصالات عن بعد التي سمحت بتتبع موقع السيارات المستأجرة أو المجانية في الوقت الفعلي، فضلاً عن السيارات التي يتم شحنها عبر البلاد، وخيار إلغائها - على الرغم من أن زفياري لم يحاول.

وبحسب زفياري فإن الأخطاء استغرقت حوالي أسبوع لإصلاحها في فبراير 2025 بعد وقت قصير من الكشف عنها لشركة صناعة السيارات.