MinhSec
Writer
Một lỗ hổng nghiêm trọng trong cổng thông tin trực tuyến dành cho các đại lý của một nhà sản xuất ô tô lớn đã làm lộ dữ liệu khách hàng và tạo điều kiện cho kẻ xấu truy cập từ xa vào nhiều chức năng của xe. Phát hiện bởi chuyên gia bảo mật Eaton Zveare, lỗi đã được báo cáo và được nhà sản xuất vá vào tháng 2/2025. Zveare không nêu tên hãng xe, nhưng cho biết đó là thương hiệu lớn với hơn 1.000 đại lý tại Mỹ.
Zveare, người có tiếng trong cộng đồng bảo mật nhờ nhiều phát hiện nghiêm trọng trên thiết bị IoT, cho biết lỗ hổng cho phép kẻ tấn công tạo tài khoản “quản trị viên quốc gia” bằng cách sửa mã cổng đại lý tức là truy cập gần như không giới hạn tới dữ liệu cá nhân, thông tin tài chính và hồ sơ xe của hàng nghìn khách hàng. Tệ hơn nữa, với số VIN (có thể nhìn thấy trên kính chắn gió), kẻ xấu có thể tra cứu tên chủ sở hữu. Lỗ hổng còn cho phép điều khiển một số chức năng từ xa ví dụ mở khóa cửa chỉ cần biết tên khách hàng hoặc VIN. Dù Zveare không thử nghiệm khả năng lái xe từ xa, ông cảnh báo rằng những lỗ hổng này rất dễ bị kẻ trộm lợi dụng.
Cổng đại lý cũng bị chỉ ra là tiết lộ thêm các dữ liệu nhạy cảm khác: dữ liệu tài chính của đại lý và khả năng theo dõi vị trí theo thời gian thực của xe cho thuê hoặc xe ưu đãi. Zveare mô tả tình trạng này là “cơn ác mộng bảo mật sắp xảy ra”, bởi một lỗi xác thực đơn giản có thể dẫn tới việc mạo danh người dùng và truy cập hệ thống khác. Công ty an ninh mạng Malwarebytes cũng nhắc rằng kiểu lỗ hổng này tạo điều kiện cho hành vi theo dõi và lạm dụng thông tin cá nhân.
Zveare cho biết sau khi tiết lộ lỗi tại hội nghị Defcon, công ty đã mất khoảng một tuần để phát các bản vá. Ông nhấn mạnh: “Nếu bạn mắc lỗi xác thực đơn giản, mọi thứ sẽ sụp đổ.”
hackread.com
Zveare, người có tiếng trong cộng đồng bảo mật nhờ nhiều phát hiện nghiêm trọng trên thiết bị IoT, cho biết lỗ hổng cho phép kẻ tấn công tạo tài khoản “quản trị viên quốc gia” bằng cách sửa mã cổng đại lý tức là truy cập gần như không giới hạn tới dữ liệu cá nhân, thông tin tài chính và hồ sơ xe của hàng nghìn khách hàng. Tệ hơn nữa, với số VIN (có thể nhìn thấy trên kính chắn gió), kẻ xấu có thể tra cứu tên chủ sở hữu. Lỗ hổng còn cho phép điều khiển một số chức năng từ xa ví dụ mở khóa cửa chỉ cần biết tên khách hàng hoặc VIN. Dù Zveare không thử nghiệm khả năng lái xe từ xa, ông cảnh báo rằng những lỗ hổng này rất dễ bị kẻ trộm lợi dụng.
Cổng đại lý cũng bị chỉ ra là tiết lộ thêm các dữ liệu nhạy cảm khác: dữ liệu tài chính của đại lý và khả năng theo dõi vị trí theo thời gian thực của xe cho thuê hoặc xe ưu đãi. Zveare mô tả tình trạng này là “cơn ác mộng bảo mật sắp xảy ra”, bởi một lỗi xác thực đơn giản có thể dẫn tới việc mạo danh người dùng và truy cập hệ thống khác. Công ty an ninh mạng Malwarebytes cũng nhắc rằng kiểu lỗ hổng này tạo điều kiện cho hành vi theo dõi và lạm dụng thông tin cá nhân.
Zveare cho biết sau khi tiết lộ lỗi tại hội nghị Defcon, công ty đã mất khoảng một tuần để phát các bản vá. Ông nhấn mạnh: “Nếu bạn mắc lỗi xác thực đơn giản, mọi thứ sẽ sụp đổ.”
Mẹo nhanh bảo vệ xe khỏi theo dõi và truy cập trái phép
- Dùng ứng dụng dẫn đường trên điện thoại (ví dụ Google Maps) thay vì lưu điểm đến trên hệ thống dẫn đường tích hợp.
- Không lưu địa chỉ thường xuyên vào hệ thống xe.
- Thường xuyên cập nhật phần mềm hệ thống xe - vá bảo mật quan trọng thường được phát hành qua OTA hoặc tại đại lý.
- Kiểm tra danh sách thiết bị liên kết với tài khoản truy cập từ xa của xe; gỡ bất kỳ thiết bị lạ nào.
- Kích hoạt xác thực hai bước cho tài khoản nhà sản xuất/đại lý nếu có.
Carmaker Portal Flaw Could Let Hackers Unlock Cars, Steal Data
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
