นักวิจัยด้านความปลอดภัยกลุ่มหนึ่งพบช่องโหว่ระดับ Critical ในพอร์ทัลตัวแทนจำหน่ายของ Kia ซึ่งอาจทำให้แฮ็กเกอร์สามารถค้นหา และขโมยรถยนต์ของ Kia ได้หลายล้านคัน ที่ผลิตภายหลังปี 2013 โดยใช้เพียงป้ายทะเบียนรถที่เป็นเป้าหมายเท่านั้น

ในปี 2022 แฮ็กเกอร์บางรายในกลุ่มนี้ และนักวิจัยด้านความปลอดภัยรวมไปถึง Sam Curry ผู้เชี่ยวชาญด้าน bug bounty จากการค้นหาช่องโหว่ ได้ค้นพบช่องโหว่ ระดับ Critical อื่น ๆ ที่ส่งผลกระทบต่อบริษัทผลิตรถยนต์กว่าสิบแห่ง ซึ่งทำให้ผู้โจมตีสามารถค้นหา และทำการปิดการทำงานของระบบสตาร์ทเครื่องยนต์, ปลดล็อก และสตาร์ทรถยนต์กว่า 15 ล้านคันที่ผลิตโดย Ferrari, BMW, Rolls Royce, Porsche และผู้ผลิตรถยนต์รายอื่น ๆ จากระยะไกลได้

Curry เปิดเผยว่า ช่องโหว่เว็บพอร์ทัลของ Kia ที่ค้นพบเมื่อวันที่ 11 มิถุนายน 2024 อาจถูกนำไปใช้เพื่อควบคุมรถยนต์ Kia ทุกคันจากระยะไกลได้ภายในเวลาไม่ถึง 30 วินาที "ไม่ว่าจะมีการสมัครสมาชิก Kia Connect หรือไม่ก็ตาม"

ช่องโหว่ดังกล่าวยังเปิดเผยข้อมูลส่วนบุคคลที่สำคัญของเจ้าของรถ รวมถึงชื่อ, หมายเลขโทรศัพท์, ที่อยู่อีเมล และที่อยู่ทางกายภาพ และอาจทำให้ผู้โจมตีสามารถเพิ่มตนเองเป็นผู้ใช้คนที่สองในรถที่เป็นเป้าหมายโดยที่เจ้าของรถอาจไม่รู้ตัว

เพื่อสาธิตปัญหานี้เพิ่มเติม ทีมงานจึงได้สร้างเครื่องมือที่แสดงให้เห็นว่าผู้โจมตีสามารถเข้าถึงป้ายทะเบียนรถยนต์ และทำการล็อก หรือปลดล็อกรถ, สตาร์ท หรือหยุดรถ, บีบแตร หรือระบุตำแหน่งรถยนต์ได้อย่างไรภายในเวลา 30 วินาที

นักวิจัยได้ลงทะเบียนบนพอร์ทัลตัวแทนจำหน่าย kiaconnect.