Vulnerabilidade em portal automotivo permite ataque e roubo de dados

São Paulo — InkDesign News — Uma vulnerabilidade de segurança em um portal online de um grande fabricante de automóveis expôs dados de clientes e poderia permitir que hackers desbloqueassem veículos remotamente. O problema foi identificado por um pesquisador de segurança, resultando em um patch liberado em fevereiro de 2025.

Incidente e vulnerabilidade

A falha foi descoberta por Eaton Zveare, um pesquisador conhecido por identificar vulnerabilidades críticas em dispositivos IoT. Ele reportou suas descobertas à montadora, que não foi identificada publicamente, mas é descrita como uma marca bem conhecida com mais de 1.000 concessionárias nos Estados Unidos. A vulnerabilidade permitia contornar a segurança de login do portal usado pelas concessionárias, permitindo que Zveare criasse uma nova conta de “administrador nacional”. Isso lhe deu acesso irrestrito às informações privadas de milhares de clientes, incluindo dados pessoais e financeiros, além de informações sobre veículos. O número de identificação do veículo (VIN) poderia ser utilizado para consultar o nome do proprietário.

Impacto e resposta

Além da exposição das informações de clientes, Zveare poderia visualizar dados financeiros de todas as concessionárias e até rastrear a localização em tempo real de carros de aluguel ou cortesia. Ele observou que as falhas de segurança eram “uma pesadelo de segurança esperando para acontecer” devido à possibilidade de impersonar outros usuários e acessar diferentes sistemas. A Cybersecurity firm Malwarebytes analisou a questão, afirmando que essa vulnerabilidade facilita o rastreamento e a perseguição de indivíduos. Zveare indicou que as principal questão era a falta de autenticação adequada:

“Se você errar isso, então tudo simplesmente desmorona.”
(“If you’re going to get those wrong, then everything just falls down.”)

— Eaton Zveare, Pesquisador de Segurança

Mitigações recomendadas

Para os proprietários de veículos preocupados com a segurança, algumas práticas recomendadas incluem: utilizar aplicativos de navegação do telefone em vez do sistema embutido no carro, evitar salvar destinos regulares no sistema de navegação do veículo, manter o software do carro atualizado e verificar os aplicativos de acesso remoto para garantir que nenhum dispositivo desconhecido esteja vinculado à conta.

Os patches foram desenvolvidos e implementados rapidamente após a divulgação das falhas, mas os riscos de segurança residual permanecem, especialmente em relação a dados que já podem ter sido comprometidos durante o período em que a vulnerabilidade estava ativa. A vigilância contínua é essencial para proteger tanto informações pessoais quanto a integridade dos veículos conectados.

Fonte: (Hack Read – Segurança Cibernética)