Miliona makina Kia mund të ishin hakuar për shkak të defektit në portalin e softuerit të tregtarëve

Ekspertët kanë paralajmëruar se një dobësi në një pjesë të softuerit mund t’i ketë lejuar hakerët të zbulojnë, zhbllokojnë dhe ndezin çdo automjet Kia të ndërtuar pas vitit 2013.

Lajmi u dha nga studiuesi i sigurisë kibernetike dhe gjuetari i bujarisë Sam Curry, i njohur më parë për gjetjen e të metave të ngjashme në 15 milionë Ferrari, BMW, Porches dhe automjete të tjera.

Curry gjeti një mënyrë për të rrëmbyer tokenat nga faqja e internetit e Kia, e cila i dha atij akses në shumë gjëra. Pas regjistrimit të një llogarie në faqen e shitësve të Kia-s dhe hyrjes në rrjet, faqja i dha Curry-t një token që i lejoi atij akses në API-të e tregtarëve mbështetës. Atje, me asgjë më shumë se numrat e targave, ai është në gjendje të gjejë vendndodhjen e çdo makine Kia të ndërtuar pas vitit 2013, ta zhbllokojë atë, të bokojë, ta ndezë ose ta ndalojë plotësisht.

Për më tepër, token i jep atij akses në shumë informacione të ndjeshme të klientit: emrat e plotë, numrat e telefonit, adresat e emailit dhe adresat postare. Curry ishte gjithashtu në gjendje të shtonte veten si përdorues i dytë në ndonjë nga automjetet, pa e ditur përdoruesi i parë.

“Përgjigja HTTP përmbante emrin, numrin e telefonit dhe adresën e emailit të pronarit të automjetit. Ne ishim në gjendje të vërtetonim në portalin e tregtarit duke përdorur kredencialet tona normale të aplikacionit dhe titullin e modifikuar të kanalit,” tha Curry.

Menjëherë pasi raportoi gjetjet e tij në kompani, Kia e rregulloi vrimën: “Këto dobësi janë rregulluar që atëherë, ky mjet nuk u lëshua kurrë dhe ekipi i Kia ka vërtetuar se kjo nuk është shfrytëzuar kurrë me qëllim të keq,” përfundoi Curry.

Që kur u prezantua softueri në makinat personale, privatësia u bë një pikë e madhe dhimbjeje. Shumica e prodhuesve të makinave, duke përfshirë Toyota, ose Mercedes, kanë pasur incidente të lidhura me të dhënat në të kaluarën.