Güvenlik Açıkları ve Müşteri Bilgileri
Son yıllarda, otomotiv sektöründe dijital hizmetlerin artmasıyla birlikte, online platformların güvenliği daha da önem kazandı. Yakın zamanda bir güvenlik araştırmacısı, büyük bir otomobil üreticisinin online satış portalında keşfettiği hataların, müşterilerin özel bilgilerini ve araç verilerini tehlikeye attığını bildirdi. Bu güvenlik açıkları, potansiyel olarak kötü niyetli kişilerin müşterilerin araçlarına uzaktan erişimini sağlayabilir.
Güvenlik Araştırması ve Bulunan Açıklar
Eaton Zveare isimli güvenlik araştırmacısı, bu açıkların nasıl oluştuğunu ve bu durumun ne tür tehlikeleri barındırdığını TechCrunch’a anlattı. Zveare, keşfettiği açığın yönetici hesabı oluşturulmasına olanak tanıdığını ve bunun sonucunda otomobil üreticisinin merkezi web portalına “sınırsız erişim” sağladığını belirtti. Bu tür bir erişim, kötü niyetli bir hacker için, otomobil sahibi olan müşterilerin kişisel ve finansal verilerine ulaşma, araçları izleme ve araçların bazı fonksiyonlarını uzaktan kontrol etme imkanı tanıyordu.
Zveare, ismini vermediği bu otomobil üreticisinin, pek çok bilinen alt markası olan bir şirket olduğunu vurguladı.
Uzaktan Kontrol ve Yetkisiz Erişim
Zveare, bulduğu açıklar sayesinde bir “ulusal yönetici” hesabı oluşturduğunu ve bu hesabın, Amerika Birleşik Devletleri’ndeki 1,000’den fazla bayinin sistemlerine erişmesine izin verdiğini söyledi. Bu durum, kötü niyetli kişilerin yalnızca bu bayilerin veri analizi yapmasına değil, aynı zamanda sistemlere girişle ilgili tüm güvenlik önlemlerini bypass etmelerine de olanak sağlıyordu.
Zveare, oturum açma sistemindeki güvenlik açıklarının bulunması zor olduğunu, ancak bulduktan sonra kodu değiştirebildiğini belirtti. Bu tür bir açık, kullanıcının tarayıcısında hatalı kodun yüklenmesi nedeniyle ortaya çıkıyordu. Otomobil üreticisi, bu açıkla ilgili daha önce herhangi bir kötüye kullanım kaydı bulamadığını ve Zveare’nin bu açığı fark edip bildiren ilk kişi olduğunu ifade etti.
Araç Takibi ve Kişisel Bilgiler
Güvenlik araştırmacısı Zveare, online bayilik portalında gezinirken, kullanıcıların araç ve sürücü verilerini sorgulayabileceği bir tüketici sorgulama aracı buldu. Bu araç, kullanıcının yalnızca bir müşterinin adı ve soyadıyla başka birinin bilgilerine erişmesine olanak tanıyordu. Örneğin, Zveare, bir aracın benzersiz kimlik numarasını alarak, kamuya açık bir otoparkta aracın sahibini tespit etmeyi başardı.
Bu erişimle, Zveare ayrıca herhangi bir aracı bir mobil hesapla eşleştirme işlemi gerçekleştirebildi. Bu, müşterilerin uzaktan bazı araç fonksiyonlarını kontrol etmelerini sağlamakta, örneğin araçlarını kilitleyip açmalarına olanak vermekteydi. Bunu arkadaşının hesabıyla ve onayını alarak test ettiğini belirten Zveare, portaldan yapılan mülkiyet devrinin yalnızca bir “imali onay” (pinky promise) ile gerçekleştiğini ifade etti.
Açıkların Tehdit Potansiyeli
Zveare, deneyimini sürdürürken portaldan başka bayilerin sistemlerine erişim sağlamanın da mümkün olduğunu ifade etti. Tek oturum açma (single sign-on) özelliği sayesinde, bir kullanıcı adı ve şifre ile birden fazla sisteme giriş yapmak son derece kolay hale gelmekteydi. Bu durum, kullanıcıların diğer sistemlere giriş yapmaksızın “taklit” yapabilmelerine olanak tanıyordu.
Zveare, insan taklit etme özelliğinin son derece tehlikeli olduğunu vurguladı. Bu tür güvenlik açıkları, kötü niyetli kişilerin sistemlere kolayca girmesine olanak tanıyarak büyük bir güvenlik riski oluşturuyordu.
Sonuç ve Öneriler
Zveare, bu açıkların yalnızca birkaç basit API güvenlik açığına dayandığını ve esasen her şeyin anahtarı olan kimlik doğrulama ile ilgili olduğunu belirtti. Eğer bu kilit noktalarda hata yapılırsa, tüm sistemin güvenliği tehlikeye giriyordu. Zveare’nin keşifleri, otomobil üreticilerinin ve bayilik sistemlerinin güvenlik protokollerinin gözden geçirilmesi ve güçlendirilmesi gerekliliğini ortaya koymaktadır. Bu tür güvenlik açıkları, sadece araç sahipleri için değil, tüm otomotiv sektörü için ciddi riskler barındırmaktadır.
