Otomobil Üreticisinin Web Portalındaki Güvenlik Açıkları, Araçların Uzaktan Kilidini Açma İmkanı Sunuyor

Güvenlik araştırmacısı, bir otomobil üreticisinin çevrimiçi bayi portalındaki güvenlik açıklarının, müşterilerin özel bilgilerini ve araç verilerini ifşa ettiğini ve bu durumun, kötü niyetli kişilerin müşterilerin araçlarına uzaktan sızmasına olanak tanıyabileceğini belirtti.

Eaton Zveare, yazılım teslimatı yapan bir şirket olan Harness’te güvenlik araştırmacısı olarak görev yapıyor. TechCrunch ile yaptığı görüşmede, bulduğu açığın, isimsiz otomobil üreticisinin merkezi web portalına “sınırsız erişim” sağlayan bir yönetici hesabı oluşturulmasına olanak tanıdığını açıkladı.

Bu erişim sayesinde, bir hacker, otomobil üreticisinin müşterilerinin kişisel ve finansal verilerini görüntüleyebilir, araçları takip edebilir ve sahiplerin veya hackerların araçlarının bazı işlevlerini uzaktan kontrol etmelerini sağlayan özelliklere kayıt yapabilir.

Zveare, tedarikçiyi adlandırmayı planlamadığını, ancak bilinen bir otomobil üreticisi olduğunu ve birçok popüler alt markası bulunduğunu ifade etti.

Def Con güvenlik konferansında konuşma yapmadan önce TechCrunch ile yaptığı röportajda, Zveare, bu açıkların, bayi sistemlerinin güvenliğine dikkat çektiğini vurguladı. Bu sistemler, çalışanlarına ve ortaklarına müşteri ve araç bilgilerine geniş bir erişim sağlıyor.

Zveare, daha önce otomobil üreticilerinin müşteri sistemlerinde ve araç yönetim sistemlerinde açıklar bulmuştu ve bu açığı, bir hafta sonu projesi olarak bu yılın başlarında keşfetti.

Giriş sistemindeki güvenlik açıklarını bulmanın zor olduğunu belirten Zveare, açığı bulduktan sonra, yeni bir “ulusal yönetici” hesabı oluşturarak giriş mekanizmasını tamamen atlatmayı başardığını söyledi.

Bu açıklar, portalın giriş sayfasını açtığınızda kullanıcı tarayıcısında yüklenen hatalı kodlardan kaynaklanıyordu. Bu durum, Zveare gibi kullanıcıların kodu değiştirerek giriş güvenlik kontrollerini aşmasına olanak tanıyordu. TechCrunch’a verdiği bilgiye göre, otomobil üreticisi, geçmişte herhangi bir kötüye kullanım kanıtı bulamadı; bu da, Zveare’nin bulduğu ve bildirdiği ilk kişi olduğunu göstermektedir.

Giriş yaptığında, hesabın 1,000’den fazla otomobil üreticisinin bayisine erişim sağladığını bildirdi.

“Kimse, tüm bu bayilerin verilerini, finansal bilgilerini, özel bilgilerini ve taleplerini sessizce incelediğinizi bilmiyor,” diyerek erişimi tanımladı Zveare.

Zveare, bayi portalında bulduğu şeylerden birinin, giriş yapan kullanıcıların otomobil ve sürücü verilerini araştırmasına olanak tanıyan bir ulusal tüketici sorgulama aracı olduğunu belirtti.

Gerçek hayatta bir örnek olarak, Zveare, bir otoparkta park halindeki bir aracın camından araç kimlik numarasını alarak, bu numarayı kullanarak aracın sahibini tanımladı. Zveare, bu aracın yalnızca müşterinin adı ve soyadı ile sorgulanabileceğini ifade etti.

Portal erişimiyle, Zveare, herhangi bir aracı mobil bir hesapla eşleştirmenin de mümkün olduğunu ve böylece müşterilerin araçlarının bazı işlevlerini bir uygulama üzerinden uzaktan kontrol edebileceğini, örneğin araçlarını kilitleyebileceğini söyledi.

Zveare, bu durumu bir arkadaşının hesabıyla ve onların izniyle gerçek bir örnekle denedi. Mülk transferi yapmak için portal, yalnızca bir taahhüt gerektiriyordu; bu, kullanıcıyı meşru olarak gösteren basit bir sözleşmeydi.

“Benim amacım, sadece bir arkadaşımı ikna edip aracını kontrol etmeye başlamak oldu,” diyen Zveare, “Ama [portal] aslında yalnızca adını bilerek herhangi birine bunu yapabilir – bu biraz korkutucu – ya da sadece park alanlarındaki araçları sorgulayabilirim,” ifadelerini kullandı.

Zveare, bu açığı test etmediğini ancak hırsızların araçlara girmek ve içindeki eşyaları çalmak için bu durumu kötüye kullanabileceğini belirtti.

Bir diğer önemli sorun, otomobil üreticisinin portalına erişimin, tek oturum açma (single sign-on) özelliği aracılığıyla aynı portal ile bağlantılı diğer bayilerin sistemlerine de erişim sağlayabilmesiydi. Zveare, otomobil üreticisinin bayileri için sistemlerin birbirine bağlı olduğunu ve bir sistemden diğerine geçmenin kolay olduğunu ifade etti.

Bu durumda, portalda, yarattığı kullanıcı hesabı gibi yöneticilere, diğer kullanıcıları “taklit etme” olanağı tanıyan bir özellik bulunduğunu belirtti. Bu, kullanıcıların giriş bilgilerine ihtiyaç duymadan diğer bayi sistemlerine erişmelerine olanak tanıyordu. Bu özellik, 2023 yılında keşfedilen bir Toyota bayi portalında bulunan bir özellikle benzerlik gösteriyordu.

“Bunlar, başımıza dert açacak güvenlik kabusları,” diye belirtti Zveare, kullanıcı taklit özelliğini eleştirerek.

Portalda, kişisel olarak tanımlanabilir müşteri verileri, bazı finansal bilgiler ve kiralık veya ikram araçların gerçek zamanlı konum takibi sağlayan telematik sistemleri bulunduğunu, bu sistemlerin ayrıca araçların ülke genelinde nakledilmesine de olanak tanıdığını ve bunları iptal etme seçeneği sunduğunu belirtti; ancak Zveare bunu denemedi.

Zveare, bu açıkların, otomobil üreticisine bildirdikten kısa bir süre içinde, Şubat 2025’te yaklaşık bir hafta içinde düzeltildiğini ifade etti.

“Önemli olan, yalnızca iki basit API açığının kapıları açması ve bunun her zaman kimlik doğrulama ile ilgili olmasıdır,” diyen Zveare, “Eğer bunları yanlış yapıyorsanız, her şey çöker,” şeklinde konuştu.