Sikkerhetshull lot hacker låse opp biler fra hvor som helst

En sikkerhetsforsker har avslørt alvorlige sårbarheter i en bilprodusents nettportal for forhandlere, som kunne gitt hackere mulighet til å låse opp biler eksternt og hente ut sensitive kundedata.

Eaton Zveare, som jobber i softwareselskapet Harness, oppdaget at en feil i innloggingssystemet gjorde det mulig å opprette en «nasjonal admin»-konto med ubegrenset tilgang. Med en slik konto kunne en angriper se personlig og økonomisk informasjon, spore kjøretøy og aktivere funksjoner som lar brukere – eller hackere – styre bilen via en app.

Kunne misbrukes med minimal informasjon

Portalen inneholdt et oppslagsverktøy for kundedata, der man kunne finne eierskap og kjøretøyinformasjon bare ved å kjenne til et navn eller et chassisnummer. I et testeksempel, med samtykke fra en venn, viste Zveare at det var mulig å overføre kontrollen over et kjøretøy til sin egen konto, med portalen som kun krevde en «pinky promise» om at forespørselen var legitim.

Slike overføringer kunne gi fjernstyrt tilgang til funksjoner som låsing og opplåsing, noe som i verste fall kunne brukes til innbrudd eller tyveri.

Interne systemer koblet sammen

Portalen ga også tilgang til over 1 000 forhandlere i USA og var koblet til flere interne systemer gjennom «single sign-on». Dermed kunne man enkelt hoppe mellom systemer og til og med «utgi seg» for å være andre brukere, en funksjon Zveare omtaler som en «sikkerhetsmareritt».

Rask lukking av hullene

Sårbarhetene ble rapportert til bilprodusenten tidligere i år og ble tettet i løpet av en uke i februar 2025. Ifølge Zveare fantes det ingen tegn til at svakhetene var blitt utnyttet tidligere.

"Bare to enkle API-sårbarheter var nok til å åpne alle dørene. Får du autentisering feil, faller alt sammen", sier han.

Les mer: Derfor kjøper stadig flere bare halve MacBooken