Un chercheur en sécurité a déclaré que les défauts du portail des concessionnaires en ligne d’un constructeur automobile ont exposé les informations privées et les données sur les véhicules de ses clients, et auraient pu permettre aux pirates de se déchaîner dans les véhicules de ses clients.
Eaton Zveare, qui travaille en tant que chercheur en sécurité dans la société de livraison de logiciels, a déclaré à TechCrunch que le défaut qu’il a découvert a permis la création d’un compte d’administration qui accorde un «accès non spécialisé» au portail Web centralisé du constructeur automobile sans nom.
Avec cet accès, un pirate malveillant pourrait avoir visualiser les données personnelles et financières des clients du constructeur automobile, de suivre les véhicules et d’inscrire les clients à des fonctionnalités qui permettent aux propriétaires – ou aux pirates – de contrôler certaines des fonctions de leur voiture à partir de tout.
Zveare a déclaré qu’il ne prévoyait pas de nommer le vendeur, mais a déclaré que c’était un constructeur automobile de Wase connu avec plusieurs sous-marques populaires.
Dans une interview avec TechCrunch avant son exposé lors de la conférence de sécurité Def à Las Vegas dimanche, Zveare a déclaré que les bogues mettaient en lumière la sécurité de ces systèmes de concessionnaires, qui accordent à leurs employés et associés un large accès aux informations sur les clients et les véhicules.
Zveare, qui a déjà trouvé des insectes dans les systèmes clients des constructeurs et les systèmes de gestion des véhicules, a trouvé le défaut plus tôt cette année dans le cadre d’un projet de week-end, a-t-il déclaré à TechCrunch.
Il a déclaré que si les défauts de sécurité du système de connexion du portail étaient un défi à trouver, une fois qu’il l’a trouvé, les bogues lui ont permis de contourner le mécanisme de connexion en lui permettant de créer un nouvel «administrateur national».
Les défauts étaient problématiques car le code buggy chargé dans le navigateur de l’utilisateur lors de l’ouverture de la page de connexion du portail, permettant à l’utilisateur – dans ce cas, Zveare – de modifier le code pour contourner les vérifications de sécurité de connexion. Zveare a déclaré à TechCrunch que le constructeur automobile n’a trouvé aucune preuve d’opération passée, suggérant qu’il était le premier à le trouver et à le signaler au constructeur automobile.
Lorsqu’il est connecté, le compte accorde l’accès à plus de 1 000 des concessionnaires des constructeurs aux États-Unis, a-t-il déclaré à TechCrunch.
« Personne, même maintenant, vous regardez silencieusement toutes les données de ces concessionnaires, toutes leurs finances, toutes leurs affaires privées, toutes leurs prospects », a déclaré Zveare, en décrivant l’accès.
Zveare a déclaré que l’une des choses qu’il avait trouvées à l’intérieur du portail des concessionnaires était un outil de recherche national de consommateurs qui a permis aux utilisateurs du portail connecté à la recherche des données du véhicule et du conducteur de ce constructeur automobile.
Dans un exemple réel, Zveare a pris le numéro d’identification unique d’un véhicule du pare-brise d’une voiture dans un parking public et a utilisé le numéro pour identifier le propriétaire de la voiture. Zveare a déclaré que l’outil pourrait être utilisé pour rechercher uniquement le premier nom et le nom de famille d’un client.
Avec l’accès au portail, Zveare a déclaré qu’il était également possible de regarder n’importe quel véhicule avec un compte mobile, ce qui permet aux clients de contrôler certaines des fonctions de leur voiture à partir d’une application, comme déverrouiller leurs voitures.
Zveare a dit qu’il avait essayé cela dans un exemple réel en utilisant le compte d’un ami et avec leur consentement. Lors du transfert de propriété sur un compte contrôlé par Zveare, il a déclaré que le portail ne nécessite qu’une attestation – effectivement une promesse rose – que l’utilisateur effectuant le transfert de compte est légitime.
« Pour mes besoins, je viens de recevoir un ami qui a consenti à moi de prendre le contrôle de leur voiture, et j’ai couru avec ça », a déclaré Zveare à TechCrunch. « Mais (le portail) pourrait faire la basale à quiconque en connaissant son nom, ce qui me fait un peu de flipper ou que je puisse simplement rechercher un parce que dans les parkings. »
Zveare a déclaré qu’il n’avait pas testé où pourrait s’éloigner, mais a déclaré que l’exploit pourrait être maltraité par des voleurs pour pénétrer et voler des articles des véhicules, par exemple.
Un autre problème clé de l’accès au portail de ce constructeur automobile a été possible d’accéder au système d’autres concessionnaire lié au même portail via une seule connexion, une fonctionnalité qui permet aux utilisateurs de se connecter dans plusieurs systèmes ou applications avec un seul ensemble de connexions de connexion. Zveare a déclaré que les systèmes du constructeur automobile pour les concessionnaires sont tous interconnectés, il est donc facile de passer d’un système à l’autre.
Avec cela, a-t-il dit, le portail avait également une fonctionnalité qui permettait aux administrateurs, tels que le compte d’utilisateur qu’il ait créé, pour «imiter» d’autres utilisateurs, permettant efficacement l’accès à un autre système de concessionnaire comme s’ils étaient cet utilisateur sans avoir besoin de leurs connexions. Zveare a déclaré que cela était similaire à une fonctionnalité trouvée dans un portail de concessionnaires Toyota découvert en 2023.
« Ils ne font que des cauchemars de sécurité qui attendent de se produire », a déclaré Zveare, parlant de la fonctionnalité d’impermimentation utilisateur.
Une fois dans le portail, Zveare a trouvé des données clients personnellement identifiables, des informations financières et des systèmes de télématique qui permettaient le suivi de location en temps réel des voitures de location ou de courtoisie, ainsi que les voitures expédiées à travers le pays, et l’option d’annuler, Zveare n’a pas essayé.
Zveare a déclaré que les bogues avaient mis environ une semaine à réparer en février 2025 peu de temps après sa divulgation au constructeur automobile.
« Le point à retenir est que seules deux vulnérabilités API simples ont blâmé les portes, et elle est toujours liée à l’authentification », a déclaré Zveare. « Si vous allez vous tromper, alors tout tombe. »
