ثغرات أمنية في بوابة ويب لشركة سيارات تسمح بفتح السيارات عن بُعد

تعتبر الثغرات الأمنية في أنظمة السيارات الحديثة تهديداً كبيراً لخصوصية العملاء وأمان المركبات. في هذا المقال، نستعرض كيف اكتشف الباحث الأمني إيتون زفاري ثغرات في بوابة ويب لشركة سيارات معروفة.

ثغرات أمنية في بوابة ويب لشركة سيارات تسمح لقراصنة بفتح السيارات عن بُعد

قال باحث أمني إن الثغرات في بوابة البيع عبر الإنترنت لشركة سيارات كشفت عن معلومات خاصة وبيانات مركبات عملائها، وقد تسمح للقراصنة باختراق أي من مركبات عملائها عن بُعد.

اكتشاف الثغرات

أشار إيتون زفاري، الباحث الأمني في شركة هارنس، إلى أن الثغرة التي اكتشفها سمحت بإنشاء حساب إداري يمنح “وصولاً غير محدود” إلى بوابة الويب المركزية للشركة المصنعة للسيارات التي لم يتم تسميتها.

التأثيرات المحتملة

مع هذا الوصول، يمكن لقراصنة خبيثين عرض البيانات الشخصية والمالية لعملاء الشركة المصنعة للسيارات، تتبع المركبات، وتسجيل العملاء في ميزات تسمح للمالكين – أو القراصنة – بالتحكم في بعض وظائف سياراتهم من أي مكان.

تسليط الضوء على الأمان

قال زفاري إنه لا يخطط للإفصاح عن اسم البائع، لكنه ذكر أنه كان صانع سيارات معروفاً له عدة علامات فرعية شعبية.

في مقابلة مع TechCrunch قبل حديثه في مؤتمر Def Con للأمن في لاس فيغاس، قال زفاري إن الأخطاء سلطت الضوء على أمان أنظمة البيع هذه، التي تمنح موظفيها وشركائها وصولاً واسعاً إلى معلومات العملاء والمركبات.

طريقة اكتشاف الثغرات

قال زفاري، الذي اكتشف ثغرات في أنظمة العملاء وإدارة المركبات لشركات السيارات من قبل، إنه اكتشف الثغرة في وقت سابق من هذا العام كجزء من مشروع في عطلة نهاية الأسبوع. وأوضح أنه على الرغم من أن الثغرات الأمنية في نظام تسجيل الدخول كانت تحدياً لاكتشافها، إلا أنه بمجرد العثور عليها، سمحت له بتجاوز آلية تسجيل الدخول تماماً من خلال السماح له بإنشاء حساب “إداري وطني” جديد.

مخاطر الثغرات

كانت الثغرات مشكلة لأن الكود المعيب تم تحميله في متصفح المستخدم عند فتح صفحة تسجيل الدخول للبوابة، مما يسمح للمستخدم – في هذه الحالة، زفاري – بتعديل الكود لتجاوز فحوصات أمان تسجيل الدخول. أخبر زفاري TechCrunch أن الشركة المصنعة لم تجد أي دليل على استغلال سابق، مما يشير إلى أنه كان أول من اكتشفها وأبلغ بها الشركة المصنعة.

الوصول إلى بيانات حساسة

عند تسجيل الدخول، منح الحساب الوصول إلى أكثر من 1000 من وكلاء الشركة المصنعة للسيارات عبر الولايات المتحدة. “لا أحد يعرف حتى أنك تشاهد بهدوء جميع بيانات هؤلاء الوكلاء، وكل بياناتهم المالية، وكل معلوماتهم الخاصة، وكل عملائهم،” كما وصف زفاري الوصول.

أدوات البحث عن العملاء

قال زفاري إنه وجد داخل بوابة الوكلاء أداة بحث وطنية للمستهلكين تسمح للمستخدمين المسجلين في البوابة بالبحث عن بيانات المركبة والسائق لذلك الصانع. في مثال حقيقي، أخذ زفاري رقم تعريف المركبة الفريد من زجاج سيارة في موقف سيارات عام واستخدم الرقم لتحديد مالك السيارة. قال زفاري إن الأداة يمكن استخدامها للبحث عن شخص باستخدام اسم العميل الأول والأخير فقط.

تحكم عن بُعد في المركبات

مع الوصول إلى البوابة، قال زفاري إنه كان من الممكن أيضاً ربط أي مركبة بحساب موبايل، مما يسمح للعملاء بالتحكم عن بُعد في بعض وظائف سياراتهم من تطبيق، مثل فتح سياراتهم.

قال زفاري إنه جرب ذلك في مثال حقيقي باستخدام حساب صديق وبموافقتهم. في نقل الملكية إلى حساب يسيطر عليه زفاري، قال إن البوابة تتطلب فقط إقراراً – فعلياً “وعداً” – بأن المستخدم الذي يقوم بنقل الحساب هو شرعي.

مخاطر إضافية

“لأغراضي، حصلت فقط على صديق وافق على أن أستولي على سيارته، وواصلت ذلك،” قال زفاري لـ TechCrunch. “لكن [البوابة] يمكن أن تفعل ذلك لأي شخص فقط بمعرفة اسمهم – وهو ما يثير قلقي قليلاً – أو يمكنني فقط البحث عن سيارة في مواقف السيارات.”

قال زفاري إنه لم يختبر ما إذا كان يمكنه القيادة بعيداً، لكنه أشار إلى أن الاستغلال يمكن أن يُساء استخدامه من قبل اللصوص لاقتحام وسرقة أشياء من المركبات، على سبيل المثال.

التداخل بين الأنظمة

مشكلة رئيسية أخرى مع الوصول إلى بوابة هذه الشركة المصنعة للسيارات كانت أنه كان من الممكن الوصول إلى أنظمة وكلاء آخرين مرتبطة بنفس البوابة من خلال تسجيل الدخول الموحد، وهي ميزة تسمح للمستخدمين بتسجيل الدخول إلى أنظمة أو تطبيقات متعددة باستخدام مجموعة واحدة من بيانات الاعتماد. قال زفاري إن أنظمة الشركة المصنعة للوكلاء مترابطة جميعها، لذا من السهل الانتقال من نظام إلى آخر.

مع هذا، قال إن البوابة كانت تحتوي أيضاً على ميزة تسمح للمسؤولين، مثل حساب المستخدم الذي أنشأه، بـ”تقمص” مستخدمين آخرين، مما يسمح فعلياً بالوصول إلى أنظمة وكلاء آخرين كما لو كانوا ذلك المستخدم دون الحاجة إلى بيانات تسجيل الدخول الخاصة بهم. قال زفاري إن هذا كان مشابهًا لميزة تم اكتشافها في بوابة وكيل تويوتا في عام 2023.

تحذير أمني

“إنها مجرد كوابيس أمنية تنتظر حدوثها،” قال زفاري، متحدثاً عن ميزة تقمص المستخدم.

عند الدخول إلى البوابة، وجد زفاري بيانات عملاء يمكن التعرف عليها، وبعض المعلومات المالية، وأنظمة تليماتية تسمح بتتبع الموقع في الوقت الحقيقي للسيارات المستأجرة أو سيارات الخدمة، بالإضافة إلى السيارات التي تُشحن عبر البلاد، وخيار لإلغائها – على الرغم من أن زفاري لم يجرب ذلك.

قال زفاري إن الأخطاء استغرقت حوالي أسبوع لإصلاحها في فبراير 2025 بعد إبلاغه للشركة المصنعة.

“الدرس المستفاد هو أن ثغرتين بسيطتين في واجهة برمجة التطبيقات فتحت الأبواب، ودائماً ما يتعلق الأمر بالتحقق من الهوية،” قال زفاري. “إذا كنت ستخطئ في ذلك، فإن كل شيء ينهار.”

تسلط هذه القضية الضوء على أهمية تعزيز الأمان في أنظمة السيارات الحديثة، حيث يمكن أن تؤدي الثغرات إلى عواقب وخيمة على العملاء والشركات. يجب على الشركات المصنعة اتخاذ إجراءات فورية لحماية بيانات عملائها.