Na začátku roku 2025 se americký bezpečnostní výzkumník Eaton Zveare pustil do víkendového experimentu. V rámci běžného zkoumání online portálů narazil na chybu, která se postupně ukázala jako jedna z nejvážnějších, s jakými se ve své kariéře setkal. Známá automobilka (konkrétněji ji ale nespecifikoval) s několika značkami provozovala systém pro dealery, jenž měl pro zaměstnance usnadnit práci. Místo toho by však v rukou útočníka umožnil něco, co zní jako z děje nějakého béčkového hackerského thrilleru: vzdálené odemykání aut, sledování jejich polohy a přístup k citlivým údajům tisíců zákazníků.
Eaton Zveare totiž zjistil, že portál obsahuje chyby v přihlašovacím systému. Ty mu dovolily vytvořit administrátorský účet s neomezenými právy. Odtud už vedla přímá cesta k více než tisícovce dealerství napříč USA. A to vše bez toho, aby si kdokoli všiml, že v systému přibyl nový superuživatel.
„Nikdo ani neví, že procházíte všechna jejich data – finanční přehledy, osobní informace zákazníků, údaje o vozidlech,“ popsal Zveare pro server TechCrunch.
Jak zjistit majitele auta podle čelního skla
Mezi nejzávažnější funkce, které portál nabízel, patřila možnost vyhledat údaje o vozidle a jeho majiteli podle čísla karoserie (VIN), které má každé auto a u spousty z nich navíc viditelné za čelním sklem. Stačilo jej na veřejném parkovišti zjistit a pak jen dohledat člověka i jen podle jména a příjmení.
Máte Škodu Octavia nebo Enyaq? A jaká další auta s bezklíčovým ovládáním vám jen tak neukradnou?
A nebylo to jen o hledání. Portál umožňoval přiřadit jakékoli vozidlo k účtu v mobilní aplikaci, což majiteli (nebo v tomto případě „hackerovi“) dovolilo auto na dálku odemknout a v některých případech i nastartovat. Proces ověření byl přitom až zarážející: stačilo odškrtnout políčko s prohlášením, že k převodu máte oprávnění.
Přístup do dalších systémů
Systém trpěl i dalšími nedostatky. Jednotné přihlášení (SSO) umožňovalo přeskočit do propojených systémů jiných dealerství. Administrátoři mohli dokonce „napodobit“ účty ostatních uživatelů a získat přístup k jejich datům, aniž by znali jejich hesla.
Uvnitř portálu našel i telematické systémy pro sledování vozidel v reálném čase, včetně služebních a přepravovaných aut. Bylo možné zjistit, kde přesně se vůz nachází a dokonce třeba zrušit i jeho cestu.
Rychlá oprava, tichý přístup
Tato automobilka podle Zveareho zareagovala rychle a chyby opravila hned během února 2025. Nenašla přitom důkazy, že by zranitelnosti někdo před ním zneužil. Zveare se proto rozhodl její jméno nezveřejnit.
🚗 Nové autopojištění za 2 minuty
Vyplňte pár údajů a hned uvidíte nejvýhodnější nabídky na trhu.
⚡ Spočítat pojištěníBez registrace • Okamžitý výsledek