ثغرة أمنية خطيرة تكشف بيانات ملايين سائقي السيارات وتسمح بالتحكم عن بعد
ثغرات خطيرة تهدد بيانات وسيارات العملاء
اكتشاف الثغرة وتأثيرها الأولي
كشف باحث أمني عن ثغرات خطيرة في بوابة إلكترونية تابعة لوكلاء سيارات، مما أدى إلى تعريض المعلومات الخاصة وبيانات مركبات العملاء للخطر. والأخطر من ذلك، أن هذه الثغرات كانت تتيح للمخترقين إمكانية السيطرة على سيارات العملاء عن بعد. الباحث الأمني إيتون زفيير، من شركة "هارنس" لتسليم البرمجيات، هو من اكتشف الثغرة التي سمحت له بإنشاء حساب بصلاحيات مسؤول، وهو ما منحه "وصولاً غير مقيد" إلى البوابة المركزية لشركة سيارات كبرى لم يتم الكشف عن اسمها.
مع هذا المستوى من الوصول، كان بإمكان أي مهاجم استعراض البيانات الشخصية والمالية لعملاء الشركة، وتتبع مواقع مركباتهم، بل وتسجيلهم في ميزات تتيح للمالكين—أو للمخترقين في هذه الحالة—التحكم في وظائف محددة في سياراتهم من أي مكان في العالم. لم يكشف زفيير عن هوية الشركة، لكنه أكد أنها شركة تصنيع سيارات واسعة الانتشار تمتلك العديد من العلامات التجارية الفرعية المعروفة.
آلية الاختراق وكيفية تجاوز الحماية
في مقابلة، صرح زفيير بأن هذه الأخطاء الأمنية تسلط الضوء على ضعف حماية أنظمة الوكلاء، التي تمنح الموظفين والشركاء وصولاً واسع النطاق إلى معلومات العملاء والمركبات. وقد اكتشف زفيير، الذي يمتلك تاريخًا في كشف ثغرات مماثلة في أنظمة إدارة المركبات، هذا الخلل خلال مشروع شخصي في وقت سابق من هذا العام.
وأوضح أنه على الرغم من صعوبة اكتشاف العيوب في نظام تسجيل الدخول الخاص بالبوابة، إلا أنها سمحت له بتجاوز آلية الحماية بالكامل وإنشاء حساب "مسؤول وطني". كانت المشكلة تكمن في أن الكود البرمجي المعيب يتم تحميله مباشرة في متصفح المستخدم عند فتح صفحة تسجيل الدخول، مما أتاح لزفيير تعديل هذا الكود وتخطي جميع فحوصات الأمان. أكدت شركة صناعة السيارات أنها لم تجد أي دليل على استغلال سابق للثغرة، مما يرجح أن زفيير كان أول من اكتشفها وأبلغ عنها.
الوصول إلى بيانات الوكلاء والعملاء
بمجرد تسجيل الدخول، أتاح الحساب الجديد الوصول إلى بيانات أكثر من 1000 وكيل للشركة في جميع أنحاء الولايات المتحدة. وصف زفيير هذا الوصول بقوله: "لا أحد يعلم حتى أنك تتصفح بصمت جميع بيانات هؤلاء الوكلاء، وكل سجلاتهم المالية، وكل معلوماتهم الخاصة، وقوائم عملائهم المحتملين".
أوضح زفيير أن من بين الأدوات التي عثر عليها داخل بوابة الوكلاء، كانت هناك أداة بحث وطنية تتيح للمستخدمين المصرح لهم البحث في بيانات المركبات والسائقين الخاصة بعملاء الشركة. وفي مثال عملي، استخدم زفيير رقم التعريف الفريد للمركبة (VIN) من على زجاج سيارة متوقفة في مكان عام لتحديد هوية مالكها. وأضاف أنه كان من الممكن البحث عن أي شخص باستخدام الاسم الأول والأخير للعميل فقط.
التحكم عن بعد في المركبات والمخاطر الأمنية
مع الوصول إلى البوابة، كان من الممكن أيضًا إقران أي مركبة بحساب هاتف محمول، مما يسمح للعملاء بالتحكم عن بعد في وظائف معينة في سياراتهم عبر تطبيق، مثل فتح الأبواب. وقد أجرى زفيير تجربة عملية على ذلك بموافقة أحد أصدقائه. وأشار إلى أن عملية نقل الملكية إلى حسابه لم تتطلب سوى إقرار بسيط—مجرد تعهد—بأن المستخدم الذي يجري النقل هو المالك الشرعي.
قال زفيير: "لأغراضي البحثية، حصلت على موافقة صديق للسيطرة على سيارته، وقد استخدمت ذلك". وأضاف: "لكن [البوابة] كانت تتيح فعل ذلك لأي شخص بمجرد معرفة اسمه—وهو أمر مخيف—أو كان بإمكاني ببساطة البحث عن أي سيارة في موقف للسيارات". لم يختبر زفيير ما إذا كان بإمكانه قيادة السيارة، لكنه أكد أن هذا الاستغلال يمكن أن يُساء استخدامه من قبل اللصوص لاقتحام المركبات وسرقة محتوياتها.
تهديد تسجيل الدخول الموحد (SSO) وميزة انتحال الشخصية
تكمن إحدى المشكلات الرئيسية الأخرى في أن اختراق بوابة شركة السيارات كان يمنح القدرة على الوصول إلى أنظمة الوكلاء الأخرى المرتبطة بنفس البوابة عبر ميزة تسجيل الدخول الموحد (SSO)، وهي ميزة تتيح للمستخدمين الدخول إلى أنظمة متعددة باستخدام مجموعة واحدة من بيانات الاعتماد. وقال زفيير إن أنظمة الوكلاء لدى هذه الشركة كانت جميعها مترابطة، مما يسهل الانتقال من نظام إلى آخر.
بفضل هذا الترابط، احتوت البوابة أيضًا على ميزة تتيح للمسؤولين، مثل الحساب الذي أنشأه زفيير، "انتحال شخصية" أي مستخدم آخر، مما يسمح لهم بالوصول إلى الأنظمة الأخرى كما لو كانوا ذلك المستخدم، ودون الحاجة إلى بيانات تسجيل الدخول الخاصة به. وأشار زفيير إلى أن هذه الميزة تشبه إلى حد كبير ثغرة تم اكتشافها في بوابة وكلاء تويوتا عام 2023. قال زفيير معلقًا على ميزة انتحال الشخصية: "إنها مجرد كوابيس أمنية تنتظر أن تحدث". بمجرد دخوله إلى البوابة، تمكن زفيير من العثور على بيانات تعريفية للعملاء، وبعض المعلومات المالية، وأنظمة تتبع عن بعد تتيح مراقبة المواقع في الوقت الفعلي للسيارات المستأجرة أو المجانية، وكذلك السيارات التي يتم شحنها عبر البلاد، مع وجود خيار لإلغاء هذه العمليات—رغم أن زفيير لم يحاول ذلك.
سرعة الاستجابة ودروس مستفادة
وفقًا لزفيير، استغرق إصلاح هذه الثغرات حوالي أسبوع في فبراير 2024، بعد وقت قصير من إبلاغه للشركة المصنّعة. ويلخص زفيير الأمر بقوله: "الخلاصة هي أن ثغرتين بسيطتين فقط في واجهة برمجة التطبيقات فتحتا كل الأبواب، والأمر يتعلق دائمًا بالمصادقة. إذا أخطأت في تأمينها، فإن كل شيء ينهار".
