ثغرات خطيرة تتيح اختراق سيارات عن بُعد وكشف بيانات أصحابها

كشف باحث أمني عن ثغرات خطيرة في البوابة الإلكترونية الخاصة بإحدى شركات تصنيع السيارات العالمية.

ومكّنت هذه الثغرات مخترقاً واحداً من الوصول إلى بيانات آلاف العملاء والتحكم في سياراتهم عن بُعد، من أي مكان في العالم.

أوضح إيتون زفير، الباحث الأمني في شركة Harness، أن الخلل الذي اكتشفه سمح بإنشاء حساب "مسؤول وطني" يمنح وصولاً غير مقيّد إلى أنظمة الشركة، بما في ذلك المعلومات الشخصية والمالية للعملاء، وتتبع مواقع المركبات، وتفعيل ميزات تحكم عن بُعد مثل فتح الأبواب عبر الهاتف المحمول.

ورغم رفضه الكشف عن اسم الشركة، أكد زفير أنها معروفة عالمياً وتملك علامات تجارية فرعية شهيرة، بحسب تقرير نشره موقع "تك كرانش" واطلعت عليه "العربية Business".

وأضاف أن الثغرة اكتُشفت مطلع العام الجاري خلال مشروع جانبي، مشيراً إلى أن الخلل كان في نظام تسجيل الدخول، حيث أمكن تجاوز آلية التحقق وإنشاء حسابات إدارية بصلاحيات واسعة.

وبحسب زفير، وفّر هذا الاختراق القدرة على الوصول لبيانات أكثر من 1000 وكيل في أميركا، مع إمكانية البحث عن أصحاب السيارات باستخدام الاسم أو رقم الهيكل (VIN)، وربط المركبات بحسابات جديدة للتحكم بها.

وقد أثبت الباحث ذلك عملياً بموافقة أحد أصدقائه، حيث تمكن من الاستيلاء على حساب سيارته وفتحها عن بُعد.

كما أشار إلى أن البوابة تتيح ميزة انتحال هوية المستخدمين، مما يسمح بالدخول إلى أنظمة وكلاء آخرين دون الحاجة لبياناتهم الخاصة، في مشهد وصفه بأنه "كوابيس أمنية تنتظر الحدوث".

المخاطر لم تتوقف عند ذلك، إذ شملت إمكانية تتبع السيارات المستأجرة أو المشحونة في الوقت الفعلي، وحتى إلغاء شحنها، وهو أمر لم يختبره الباحث عملياً.

الشركة المعنية أصلحت الثغرات في غضون أسبوع من إبلاغها في فبراير 2025، فيما شدد زفير على أن الخلل كان سببه ثغرتان بسيطتان في واجهة برمجة التطبيقات (API) تتعلقان بالمصادقة، محذراً: "إذا أخطأت فيهما، ينهار كل شيء".