Kelemahan keamanan di portal web produsen mobil memungkinkan peretas mengakses data pribadi dan membuka mobil dari mana saja.
Kelemahan Keamanan yang Mengejutkan
Seorang peneliti keamanan, Eaton Zveare, menemukan kelemahan di portal online dealer mobil yang dapat mengekspos informasi pribadi dan data kendaraan pelanggan. Dengan celah ini, peretas bisa mendapatkan akses admin yang memungkinkan mereka mengakses data sensitif dan bahkan mengontrol beberapa fungsi mobil dari jarak jauh.
Zveare, yang bekerja di perusahaan pengiriman perangkat lunak Harness, mengungkapkan bahwa kelemahan ini memungkinkan pembuatan akun admin yang memberikan akses tanpa batas ke portal web terpusat produsen mobil tersebut. Dengan akses ini, peretas bisa melihat data pribadi dan finansial pelanggan, melacak kendaraan, dan mendaftarkan pelanggan dalam fitur yang memungkinkan pemilik — atau peretas — mengontrol beberapa fungsi mobil mereka dari mana saja.
Ancaman Serius bagi Keamanan Pelanggan
Dalam wawancara dengan TechCrunch, Zveare menyoroti betapa rentannya sistem ini terhadap serangan. Ia menemukan kelemahan ini sebagai bagian dari proyek akhir pekan dan berhasil melewati mekanisme login dengan membuat akun 'admin nasional' baru. Kode yang bermasalah ini dimuat di browser pengguna saat membuka halaman login portal, memungkinkan Zveare memodifikasi kode untuk melewati pemeriksaan keamanan login.
Setelah masuk, akun tersebut memberikan akses ke lebih dari 1.000 dealer di seluruh Amerika Serikat. Zveare menggambarkan akses ini sebagai 'mimpi buruk keamanan' karena memungkinkan peretas melihat data keuangan dan pribadi dealer tanpa terdeteksi.
Di dalam portal dealer, Zveare menemukan alat pencarian konsumen nasional yang memungkinkan pengguna portal yang masuk untuk mencari data kendaraan dan pengemudi. Dalam contoh nyata, Zveare menggunakan nomor identifikasi kendaraan dari kaca depan mobil di tempat parkir umum untuk mengidentifikasi pemilik mobil tersebut.
Dengan akses ke portal, Zveare juga bisa memasangkan kendaraan dengan akun seluler, yang memungkinkan pelanggan mengontrol beberapa fungsi mobil mereka dari aplikasi, seperti membuka kunci mobil. Zveare mencoba ini dalam contoh nyata menggunakan akun temannya dengan persetujuan mereka.
Portal ini hanya memerlukan pernyataan bahwa pengguna yang melakukan transfer akun adalah sah, yang menurut Zveare sangat rentan terhadap penyalahgunaan. Ia tidak menguji apakah ia bisa mengemudikan mobil tersebut, tetapi mengatakan bahwa eksploitasi ini bisa disalahgunakan oleh pencuri untuk membobol dan mencuri barang dari kendaraan.
Masalah lain dengan akses portal ini adalah kemungkinan mengakses sistem dealer lain yang terhubung ke portal yang sama melalui fitur single sign-on. Ini memungkinkan pengguna untuk masuk ke beberapa sistem atau aplikasi dengan satu set kredensial login.
Zveare mengatakan bahwa sistem produsen mobil ini saling terhubung sehingga mudah untuk berpindah dari satu sistem ke sistem lain. Portal ini juga memiliki fitur yang memungkinkan admin, seperti akun pengguna yang ia buat, untuk 'menyamar' sebagai pengguna lain, memungkinkan akses ke sistem dealer lain seolah-olah mereka adalah pengguna tersebut tanpa memerlukan login mereka.
Di dalam portal, Zveare menemukan data pelanggan yang dapat diidentifikasi secara pribadi, beberapa informasi keuangan, dan sistem telematika yang memungkinkan pelacakan lokasi real-time dari mobil sewaan atau mobil sopir, serta opsi untuk membatalkannya — meskipun Zveare tidak mencobanya.
Zveare mengatakan bahwa bug ini memerlukan waktu sekitar seminggu untuk diperbaiki pada Februari 2025 setelah ia melaporkannya kepada produsen mobil tersebut. 'Pelajaran yang bisa diambil adalah bahwa hanya dua kerentanan API sederhana yang membuka pintu lebar-lebar, dan itu selalu terkait dengan otentikasi,' kata Zveare. 'Jika Anda salah dalam hal itu, maka semuanya akan runtuh.'
