Właściciel samochodu odkrył lukę w zabezpieczeniach aplikacji Volkswagen

Autor: Volodymyr Kolominov | 26.05.2025, 09:21
Właściciel samochodu odkrył lukę w zabezpieczeniach aplikacji Volkswagen

Ekspert ds. bezpieczeństwa informacji Vishal Bhaskar odkrył krytyczną lukę w aplikacji My Volkswagen, dzięki której przestępcy mogliby uzyskać dostęp do danych osobowych właścicieli samochodów, znając jedynie numer identyfikacyjny pojazdu (VIN). Luka dotyczyła tylko indyjskiej wersji aplikacji i w tej chwili firma Volkswagen już ją usunęła.

Co wiadomo

Bhaskar natknął się na problem przypadkowo, jako zwykły właściciel samochodu. Kupił używany samochód i próbował się z nim połączyć za pomocą aplikacji. Jednak jednorazowy kod (OTP) potrzebny do potwierdzenia został wysłany na e-mail poprzedniego właściciela. Nie mogąc szybko się z nim skontaktować, Bhaskar zaczął analizować żądania API aplikacji i odkrył, że nie ma blokady za niewłaściwe wprowadzenie hasła.

Badacz napisał skrypt, który testował wszystkie możliwe czterocyfrowe kody. W ciągu kilku sekund hasło zostało znalezione i uzyskał dostęp do danych pojazdu. Do tego Bhaskar potrzebował tylko VIN, który można swobodnie zobaczyć przez przednią szybę.

Na tym nie poprzestał i kontynuował badania. Jego zdaniem, jeden z końców API zwracał loginy, hasła i tokeny do różnych usług Volkswagena w otwartej postaci. Przez inny uzyskał dostęp do danych o serwisowaniu, w tym zawartych umowach, informacji o płatnościach oraz danych osobowych właścicieli — imion, numerów telefonów, adresów i e-maili.

W szczególności niepokojące okazało się to, że przez niektóre końce API można było uzyskać dane telematyczne samochodów, w tym ich aktualną geolokalizację. W niektórych przypadkach w bazie przechowywane były nawet informacje dotyczące danych prawa jazdy oraz kontaktów w nagłych wypadkach. Jak podkreślił Bhaskar, rozmiar luk był „nadzwyczaj poważny”.

Badacz skontaktował się z Volkswagenem z raportem o znalezionych lukach w listopadzie 2024 roku. Jego zdaniem początkowo było trudno znaleźć odpowiednich przedstawicieli, ale cztery dni po pierwszym liście firma wysłała potwierdzenie odbioru. W maju 2025 roku otrzymał oficjalne potwierdzenie, że wszystkie odkryte luki zostały usunięte.

Źródło: Loopsec/Medium