Otomotiv Şirketinin Web Portalındaki Güvenlik Açıkları Araçları Hedef Alıyor

Güvenlik araştırmacısı, bir otomotiv şirketinin çevrimiçi bayilik portalındaki güvenlik açıklarının, müşterilerin özel bilgilerini ve araç verilerini tehlikeye attığını açıkladı. Bu açıklar, kötü niyetli hackerların müşterilerin araçlarına uzaktan girebilmelerine imkan tanıyordu.

Eaton Zveare, yazılım dağıtım şirketi Harness’te güvenlik araştırmacısı olarak görev yapıyor. TechCrunch’a verdiği bilgiye göre, keşfettiği güvenlik açığı, otomotiv şirketinin merkezi web portalında “sınırsız erişim” sağlayan bir yönetici hesabının oluşturulmasına izin veriyor.

Bu erişim ile kötü niyetli bir hacker, otomotiv şirketinin müşterilerinin kişisel ve finansal verilerine erişebilir, araçları izleyebilir ve müşterileri, araçlarının bazı işlevlerini uzaktan kontrol etmelerine olanak tanıyan özelliklere kaydedebilir.

Zveare, otomotiv şirketinin adını açıklamayı planlamadığını, ancak bunun birçok popüler alt markaya sahip tanınmış bir marka olduğunu belirtti.

Def Con güvenlik konferansında konuşma yapmak üzere Las Vegas’ta bulunan Zveare, TechCrunch’a yaptığı açıklamada, bu güvenlik açıklarının bayilik sistemlerinin güvenliğini gözler önüne serdiğini ifade etti. Bu sistemler, çalışanlarına ve iş ortaklarına geniş erişim yetkileri veriyor.

Önceki yıllarda otomotiv şirketlerinin müşteri ve araç yönetim sistemlerinde de güvenlik açıkları bulan Zveare, bu açığı bu yılın başlarında bir hafta sonu projesi olarak keşfetti.

Zveare, portalın giriş sistemindeki güvenlik açıklarının bulunmasının zor olduğunu, ancak bir kez keşfettikten sonra, yeni bir “ulusal yönetici” hesabı oluşturarak giriş mekanizmasını tamamen atlattığını söyledi.

Bu açıklar, portalın giriş sayfasını açtığında kullanıcı tarayıcısında yüklenen hatalı kod nedeniyle sorunlu hale geldi. Kullanıcı, bu kodu değiştirerek giriş güvenlik kontrollerini atlayabiliyordu. Zveare, otomotiv şirketinin geçmişte bu açığın kötüye kullanıldığına dair bir kanıt bulamadığını, bu durumun kendisinin ilk keşfeden ve bildiren kişi olduğunu gösterdiğini belirtti.

Giriş yaptıktan sonra, Zveare’ye, Amerika Birleşik Devletleri’ndeki 1,000’den fazla bayinin verilerine erişim sağlayan bir hesap tanımlandı.

Zveare, “Kimse, tüm bu bayilerin verilerini, finansallarını ve özel bilgilerini sessizce incelediğinizi bile bilmiyor,” diyerek erişimi tanımladı.

Bayilik portalında bulduğu özelliklerden biri de, kullanıcıların araç ve sürücü verilerini arama yapmasına olanak tanıyan bir ulusal tüketici sorgulama aracıydı.

Gerçek bir örnek olarak, Zveare, bir kamusal park alanındaki bir aracın ön camından araç kimlik numarasını alarak aracın sahibini tanımladı. Sadece bir müşterinin adı ve soyadı ile birisini bulmak için bu aracı kullanmak mümkündü.

Portalın erişimi sayesinde Zveare, herhangi bir aracı bir mobil hesapla eşleştirmenin mümkün olduğunu ve bu durumun müşterilerin araçlarının bazı işlevlerini bir uygulama aracılığıyla uzaktan kontrol etmelerine izin verdiğini belirtti.

Bu durumu bir arkadaşının hesabını kullanarak gerçekleştirdiğini ve onların rızası ile denediğini ifade eden Zveare, hesap transferinin sadece bir taahhüt gerektirdiğini, yani sadece bir sözle gerçekleştirildiğini vurguladı.

Zveare, “Bir arkadaşımın rızasıyla onların aracını devraldım ve bu şekilde ilerledim,” dedi. “Ama portal, birinin adını bilmekle herhangi birine aynı şeyi yapabilir — bu beni biraz korkutuyor — ya da park yerlerindeki bir aracı araştırabilirim.”

Drive away testini yapmadığını belirten Zveare, ancak bu açığın hırsızlar tarafından araçlara girmek ve içerisindeki eşyaları çalmak için kötüye kullanılabileceği konusunda uyardı.

Bu otomotiv şirketinin portalına erişim sağlamanın bir diğer önemli sorunu ise, bu portal aracılığıyla diğer bayilerin sistemlerine de erişim sağlanabilmesiydi. Tek bir oturum açma özelliği ile birden fazla sisteme giriş yapılmasına olanak tanıyordu. Zveare, otomotiv şirketinin bayiler için oluşturduğu sistemlerin birbiriyle bağlantılı olduğunu ve bir sistemden diğerine geçiş yapmanın kolay olduğunu belirtti.

Zveare, portalda yöneticilerin diğer kullanıcıları “taklit etme” yeteneğine sahip olduğunu ve böylece diğer bayilerin sistemlerine, o kullanıcı gibi erişim sağlanabileceğini açıkladı. Bu özellik, 2023 yılında bulunan bir Toyota bayilik portalında da bulunuyordu.

Zveare, “Bunlar, gerçekleşmesi beklenen güvenlik kabusları,” diyerek kullanıcı taklit etme özelliğini tanımladı.

Portalda yapılan incelemelerde, kişisel olarak tanımlanabilir müşteri verileri, bazı finansal bilgiler ve kiralık veya misafir araçların gerçek zamanlı konum takibi için kullanılan telematik sistemleri bulundu. Ayrıca, araçların ülke genelinde taşınmasını iptal etme seçeneği de mevcuttu, ancak Zveare bunu denemedi.

Zveare, bu hataların otomotiv şirketine bildirimde bulunduğundan kısa bir süre sonra, Şubat 2025’te yaklaşık bir hafta içinde düzeltildiğini belirtti.

Zveare, “Sonuç olarak, yalnızca iki basit API açığı kapıları açtı ve bu her zaman kimlik doğrulama ile ilgili,” diyerek güvenlik konusunda dikkatli olunması gerektiğinin altını çizdi.