Na začátku roku 2025 se americký bezpečnostní výzkumník Eaton Zveare pustil do víkendového experimentu. V rámci běžného zkoumání online portálů narazil na chybu, která se postupně ukázala jako jedna z nejvážnějších, s jakými se ve své kariéře setkal. Známá automobilka (konkrétněji ji ale nespecifikoval) s několika značkami provozovala systém pro dealery, jenž měl pro zaměstnance usnadnit práci. Místo toho by však v rukou útočníka umožnil něco, co zní jako z děje nějakého béčkového hackerského thrilleru: vzdálené odemykání aut, sledování jejich polohy a přístup k citlivým údajům tisíců zákazníků.
Eaton Zveare totiž zjistil, že portál obsahuje chyby v přihlašovacím systému. Ty mu dovolily vytvořit administrátorský účet s neomezenými právy. Odtud už vedla přímá cesta k více než tisícovce dealerství napříč USA. A to vše bez toho, aby si kdokoli všiml, že v systému přibyl nový superuživatel.
„Nikdo ani neví, že procházíte všechna jejich data – finanční přehledy, osobní informace zákazníků, údaje o vozidlech,“ popsal Zveare pro server TechCrunch.
Jak zjistit majitele auta podle čelního skla
Mezi nejzávažnější funkce, které portál nabízel, patřila možnost vyhledat údaje o vozidle a jeho majiteli podle čísla karoserie (VIN), které má každé auto a u spousty z nich navíc viditelné za čelním sklem. Stačilo jej na veřejném parkovišti zjistit a pak jen dohledat člověka i jen podle jména a příjmení.
Máte Škodu Octavia nebo Enyaq? A jaká další auta s bezklíčovým ovládáním vám jen tak neukradnou?
A nebylo to jen o hledání. Portál umožňoval přiřadit jakékoli vozidlo k účtu v mobilní aplikaci, což majiteli (nebo v tomto případě „hackerovi“) dovolilo auto na dálku odemknout a v některých případech i nastartovat. Proces ověření byl přitom až zarážející: stačilo odškrtnout políčko s prohlášením, že k převodu máte oprávnění.
Přístup do dalších systémů
Systém trpěl i dalšími nedostatky. Jednotné přihlášení (SSO) umožňovalo přeskočit do propojených systémů jiných dealerství. Administrátoři mohli dokonce „napodobit“ účty ostatních uživatelů a získat přístup k jejich datům, aniž by znali jejich hesla.
Uvnitř portálu našel i telematické systémy pro sledování vozidel v reálném čase, včetně služebních a přepravovaných aut. Bylo možné zjistit, kde přesně se vůz nachází a dokonce třeba zrušit i jeho cestu.
Rychlá oprava, tichý přístup
Tato automobilka podle Zveareho zareagovala rychle a chyby opravila hned během února 2025. Nenašla přitom důkazy, že by zranitelnosti někdo před ním zneužil. Zveare se proto rozhodl její jméno nezveřejnit.
Platíte za autopojištění zbytečně moc?
Najděte nejlevnější nabídku během 2 minut a ušetřete až 4 500 Kč.
🔍 Porovnat ceny zdarmaNezávazné srovnání • Okamžitý výsledek