Jak poinformował w rozmowie z TechCrunch, błąd w systemie pozwalał na utworzenie konta administratora z nieograniczonym dostępem do scentralizowanego portalu. Osoba posiadająca taki dostęp mogła przeglądać dane osobowe i finansowe klientów, śledzić pojazdy w czasie rzeczywistym, a nawet zdalnie odblokowywać samochody poprzez sparowanie ich z aplikacją mobilną.

Numer VIN i imię właściciela wystarczyły, by zdalnie otworzyć auto

Badacz Eaton Zveare podkreślił, że wystarczyło znać imię i nazwisko właściciela lub numer VIN pojazdu, aby wyszukać jego dane i przejąć nad nim kontrolę. W jednym z testów, przeprowadzonym za zgodą znajomego, badacz był w stanie zdalnie uzyskać dostęp do funkcji samochodu, w tym możliwości odblokowania drzwi.

Błąd polegał na tym, że część kodu odpowiedzialnego za logowanie ładowała się w przeglądarce, co pozwalało na jego modyfikację i obejście mechanizmów uwierzytelniania. Po zalogowaniu możliwe było przeglądanie danych ponad tysiąca dealerów w całych Stanach Zjednoczonych oraz „podszywanie się” pod innych użytkowników, dzięki funkcji „impersonacji” wbudowanej w portal.

Co więcej, system umożliwiał dostęp do innych powiązanych aplikacji dealerskich przez tzw. single sign-on, co dodatkowo zwiększało ryzyko nadużyć. W bazach znajdowały się m.in. informacje identyfikacyjne klientów, dane finansowe oraz telemetria pojazdów, pozwalająca na ich lokalizowanie i anulowanie transportów.

Według Zveare’a, producent samochodów usunął luki w ciągu tygodnia od jej zgłoszenia w lutym 2025 roku. Badacz ostrzegł jednak, że problem dotyczył jedynie dwóch podatności API, co pokazuje, jak duże zagrożenie może wynikać z błędów w systemach uwierzytelniania. Analityk celowo nie ujawnił o jakiego producenta samochodów chodzi, ale podał, że jest to znana grupa posiadająca w swoim portfolio popularne marki.