Eaton Zveare - expert en securite chez Harness Software - vient de decouvrir une grave faille dans le portail d'information pour les concessionnaires d'un constructeur automobile qui expose les donnees personnelles et les informations de voiture des clients et peut egalement permettre aux pirates de controler les voitures a distance selon Techcrunch.
Eaton Zveare a declare que la faille permet de creer un compte administrateur avec un acces illimite au systeme web centralise du constructeur automobile. Les malfaiteurs peuvent consulter les donnees personnelles et financieres suivre l'emplacement de la voiture et meme activer des fonctionnalites de controle a distance telles que la deverrouillage.
Zveare a decouvert la faille au debut de cette annee dans un projet personnel. Bien qu'il soit difficile a trouver une fois exploite cette faille permet d'ignorer completement la etape de connexion pour creer un compte de gestionnaire national. La raison en est que le code de la faille est telecharge immediatement lors de l'ouverture de la page de connexion permettant de modifier pour depasser le mecanisme de verification. Bien que le constructeur automobile n'ait pas ete nomme pour des raisons de securite selon la societe il n'y a aucun signe que la faille ait ete exploit
Avec le droit d'acces Zveare peut acceder aux donnees de plus de 1 000 concessionnaires aux Etats-Unis consulter les informations sur la voiture et le proprietaire uniquement avec le nom ou le numero de plaque d'immatriculation. Cet expert a teste la voiture d'un ami et a constate que le systeme ne demandait qu'une confirmation verbale pour transferer les droits de propriete du compte.
Le portail d'information permet egalement de se connecter une fois pour acceder au systeme d'autres concessionnaires et dispose egalement d'une fonctionnalite de pseudonyme d'utilisateur sans mot de passe. Ceci est similaire a l'erreur qui a ete decouverte sur le systeme de Toyota en 2023.
A l'interieur du systeme Zveare trouve des donnees d'identification des informations financieres la possibilite de suivre l'emplacement en temps reel des vehicules loues des vehicules de service ou en transit et meme l'option d'annulation des ordres de transport.
Actuellement le constructeur automobile a corrige l'erreur en recevant le rapport en fevrier 2025. Zveare a averti : 'Seules 2 failles API simples suffisent a briser la porte de la securite'.
