Falha em portal de concessionários permitia controlar carros à distância
Um investigador de segurança descobriu vulnerabilidades num portal utilizado por concessionários de um conceituado construtor automóvel, capazes de expor dados de clientes e possibilitar o desbloqueio remoto de viaturas.
Investigação revela vulnerabilidade crítica
Eaton Zveare, especialista em cibersegurança na empresa Harness, identificou a falha durante um projeto pessoal. O erro no sistema de autenticação permitia a criação de uma conta de administrador nacional, evitando por completo o processo de login. Com estas credenciais, seria possível aceder a mais de 1 000 concessionários nos Estados Unidos.
O código vulnerável era carregado no navegador do utilizador ao abrir a página de início de sessão, o que possibilitava a sua alteração e a anulação das verificações de segurança. O fabricante, cujo nome não foi revelado, confirmou não existirem indícios de exploração prévia.
Dados e funções dos veículos expostos
Depois de autenticado, o acesso concedia informações pessoais e financeiras dos clientes, localização em tempo real de viaturas de cortesia ou em transporte, bem como um sistema de pesquisa que permitia identificar o proprietário apenas pelo número de identificação do veículo ou pelo nome.
A mesma conta podia ainda associar qualquer viatura a uma aplicação móvel, tornando viável o controlo à distância de funcionalidades como destrancar portas. Zveare testou a hipótese com a autorização de um amigo, demonstrando que bastava uma simples declaração de posse no portal para concluir o processo.
Imagem: Getty via techcrunch.com
Risco de movimentação lateral e usurpação de identidades
O portal utilizava o método single sign-on, que ligava diversos sistemas internos. Uma vez dentro, o utilizador mal-intencionado podia assumir identidades de outros colaboradores, replicando o acesso a várias plataformas sem necessidade de credenciais adicionais. O investigador considerou este mecanismo «um pesadelo de segurança» comparável a falhas semelhantes detetadas anteriormente noutros fabricantes.
Correção rápida após divulgação
O construtor automóvel solucionou as vulnerabilidades cerca de uma semana depois de receber o relatório, em fevereiro de 2025. Zveare sublinhou que apenas duas falhas de API desmontaram todo o sistema e reforçou a importância de implementar processos de autenticação robustos.
