Los defectos en el portal del fabricante de automóviles podrían haber permitido que los hackers controlen los autos de forma remota
¿Cuál es la historia?
Un investigador de seguridad ha marcado serias vulnerabilidades en el portal web de un fabricante de automóviles popular. Los defectos podrían haber permitido a los piratas informáticos desbloquear y controlar de forma remota los vehículos de los clientes desde cualquier lugar, comprometiendo los datos confidenciales de los clientes y la información del vehículo. El fabricante de automóviles sin nombre tiene varias submarcadas conocidas, pero el investigador, Eaton Zveare de la firma de entrega de software Harness, no reveló su nombre.
El investigador encontró un error en el sistema de inicio de sesión del portal del concesionario
Zveare descubrió las vulnerabilidades mientras exploraba el portal del concesionario como un proyecto de fin de semana. Encontró un error en el sistema de inicio de sesión del portal que podría explotarse mediante la carga de código directamente en el navegador en la página de inicio de sesión. Esto le permitió evitar los controles de seguridad y crear una cuenta de «administrador nacional» con acceso sin restricciones a más de 1,000 distribuidores en todo Estados Unidos.
Podría rastrear vehículos en tiempo real, desbloquear autos de forma remota
Con el acceso al administrador, Zveare podría ver datos confidenciales de clientes y financieros, rastrear vehículos en tiempo real e inscribir a los usuarios en características conectadas, permitiendo el control remoto de las funciones del vehículo. Esto incluyó desbloquear autos. Incluso demostró esto emparejando el auto de un amigo con una cuenta que controlaba después de obtener su consentimiento. El portal solo requirió una certificación simple que confirmara la legitimidad de la transferencia de la cuenta para habilitar esta característica.
El portal usó SSO para conectar múltiples sistemas de distribuidores
El portal también utilizó inicio de sesión único (SSO) para conectar múltiples sistemas de distribuidores. Una vez iniciado sesión, Zveare podría «hacerse pasar por otros usuarios y acceder a sus portales sin necesidad de ninguna de sus credenciales. Llamó a esta característica como una «pesadilla de seguridad», similar a otra vulnerabilidad que descubrió en un Toyota Portal del concesionario en 2023.
Vulnerabilidades solucionadas después de la divulgación al fabricante de automóviles
Después de que Zveare reveló las vulnerabilidades, el fabricante de automóviles los fijó en aproximadamente una semana de febrero de 2025. Resumió el riesgo diciendo: «Solo dos vulnerabilidades de API simples abrieron las puertas, y siempre está relacionado con la autenticación. Si va a equivocarse, entonces todo se cae». Este caso destaca los graves riesgos de seguridad en los portales de concesionario que otorgan un amplio acceso a datos confidenciales y controles de vehículos.
