Falhas de segurança no portal da web de uma montadora permitem que um hacker desbloqueie carros remotamente de qualquer lugar

Um pesquisador de segurança disse que falhas no portal de concessionárias on-line de uma montadora expuseram informações privadas e dados de veículos de seus clientes, e poderiam ter permitido que hackers invadissem remotamente qualquer um dos veículos de seus clientes.

Eaton Zveare, que trabalha como pesquisador de segurança na empresa de entrega de software Harness, disse ao TechCrunch que a falha que ele descobriu permitiu a criação de uma conta de administrador que concedeu "acesso irrestrito" ao portal centralizado da montadora não identificada.

Com esse acesso, um hacker mal-intencionado poderia visualizar os dados pessoais e financeiros dos clientes da montadora, rastrear veículos e cadastrar clientes em recursos que permitem aos proprietários — ou aos hackers — controlar algumas das funções de seus carros de qualquer lugar.

Zveare disse que não planeja revelar o nome do fornecedor, mas disse que era uma montadora amplamente conhecida, com diversas submarcas populares.

Em uma entrevista ao TechCrunch antes de sua palestra na conferência de segurança Def Con em Las Vegas no domingo, Zveare disse que os bugs destacam a segurança desses sistemas de concessionárias, que concedem a seus funcionários e associados amplo acesso às informações de clientes e veículos.

Zveare, que já havia encontrado bugs em sistemas de clientes e sistemas de gerenciamento de veículos de montadoras, descobriu a falha no início deste ano como parte de um projeto de fim de semana, disse ele ao TechCrunch.

Ele disse que, embora as falhas de segurança no sistema de login do portal fossem difíceis de encontrar, quando ele as encontrou, os bugs permitiram que ele ignorasse completamente o mecanismo de login, permitindo que ele criasse uma nova conta de "administrador nacional".

As falhas eram problemáticas porque o código com bugs era carregado no navegador do usuário ao abrir a página de login do portal, permitindo que o usuário — neste caso, Zveare — modificasse o código para contornar as verificações de segurança de login. Zveare disse ao TechCrunch que a montadora não encontrou evidências de exploração anterior, sugerindo que ele foi o primeiro a encontrar e relatar o ocorrido à montadora.

Ao fazer login, a conta dava acesso a mais de 1.000 concessionárias da montadora nos Estados Unidos, ele contou ao TechCrunch.

“Ninguém sabe que você está apenas olhando silenciosamente os dados de todos esses revendedores, todas as suas finanças, todas as suas coisas privadas, todos os seus leads”, disse Zveare, ao descrever o acesso.

Zveare disse que uma das coisas que encontrou dentro do portal da concessionária foi uma ferramenta nacional de pesquisa de consumidores que permitia que usuários logados no portal consultassem os dados do veículo e do motorista daquela montadora.

Em um exemplo real, a Zveare pegou o número de identificação único de um veículo do para-brisa de um carro em um estacionamento público e o usou para identificar o proprietário do carro. A Zveare disse que a ferramenta poderia ser usada para procurar alguém usando apenas o nome e o sobrenome do cliente.

Com acesso ao portal, Zveare disse que também é possível parear qualquer veículo com uma conta móvel, o que permite aos clientes controlar remotamente algumas funções do carro a partir de um aplicativo, como destravar o carro.

Zveare disse que testou isso em um exemplo real usando a conta de um amigo e com o consentimento dele. Ao transferir a propriedade para uma conta controlada pelo Zveare, ele disse que o portal exige apenas uma comprovação — praticamente uma promessa de dedo mindinho — de que o usuário que realiza a transferência é legítimo.

“Para o meu propósito, consegui que um amigo consentisse que eu ficasse com o carro dele, e eu aceitei”, disse Zveare ao TechCrunch. “Mas [o portal] basicamente poderia fazer isso com qualquer pessoa só de saber o nome dela — o que me assusta um pouco — ou eu poderia simplesmente procurar um carro nos estacionamentos.”

Zveare disse que não testou se conseguia dirigir, mas disse que o recurso poderia ser usado indevidamente por ladrões para arrombar e roubar itens de veículos, por exemplo.

Outro problema importante com o acesso ao portal desta montadora era a possibilidade de acessar os sistemas de outras concessionárias vinculados ao mesmo portal por meio de login único, um recurso que permite aos usuários acessar vários sistemas ou aplicativos com apenas um conjunto de credenciais de login. Zveare afirmou que os sistemas da montadora para concessionárias são todos interconectados, o que facilita a transição de um sistema para outro.

Com isso, disse ele, o portal também contava com um recurso que permitia aos administradores, como a conta de usuário que ele criou, "personificar" outros usuários, permitindo efetivamente o acesso a outros sistemas de concessionárias como se fossem o usuário, sem a necessidade de seus logins. Zveare disse que isso era semelhante a um recurso encontrado em um portal de concessionárias da Toyota, descoberto em 2023 .

“Eles são apenas pesadelos de segurança esperando para acontecer”, disse Zveare, falando sobre o recurso de representação do usuário.

Uma vez no portal, Zveare encontrou dados de clientes pessoalmente identificáveis, algumas informações financeiras e sistemas telemáticos que permitiam o rastreamento da localização em tempo real de carros alugados ou de cortesia, bem como carros sendo enviados para todo o país, e a opção de cancelá-los — porém, Zveare não tentou.

Zveare disse que os bugs levaram cerca de uma semana para serem corrigidos em fevereiro de 2025, logo após sua divulgação à montadora.

“A conclusão é que apenas duas vulnerabilidades simples de API abriram as portas, e isso sempre está relacionado à autenticação”, disse Zveare. “Se você errar nessas vulnerabilidades, tudo vai por água abaixo.”