นักวิจัยด้านความปลอดภัยกลุ่มหนึ่งพบช่องโหว่ระดับ Critical ในพอร์ทัลตัวแทนจำหน่ายของ Kia ซึ่งอาจทำให้แฮ็กเกอร์สามารถค้นหา และขโมยรถยนต์ของ Kia ได้หลายล้านคัน ที่ผลิตภายหลังปี 2013 โดยใช้เพียงป้ายทะเบียนรถที่เป็นเป้าหมายเท่านั้น

ในปี 2022 แฮ็กเกอร์บางรายในกลุ่มนี้ และนักวิจัยด้านความปลอดภัยรวมไปถึง Sam Curry ผู้เชี่ยวชาญด้าน bug bounty จากการค้นหาช่องโหว่ ได้ค้นพบช่องโหว่ ระดับ Critical อื่น ๆ ที่ส่งผลกระทบต่อบริษัทผลิตรถยนต์กว่าสิบแห่ง ซึ่งทำให้ผู้โจมตีสามารถค้นหา และทำการปิดการทำงานของระบบสตาร์ทเครื่องยนต์, ปลดล็อก และสตาร์ทรถยนต์กว่า 15 ล้านคันที่ผลิตโดย Ferrari, BMW, Rolls Royce, Porsche และผู้ผลิตรถยนต์รายอื่น ๆ จากระยะไกลได้

Curry เปิดเผยว่า ช่องโหว่เว็บพอร์ทัลของ Kia ที่ค้นพบเมื่อวันที่ 11 มิถุนายน 2024 อาจถูกนำไปใช้เพื่อควบคุมรถยนต์ Kia ทุกคันจากระยะไกลได้ภายในเวลาไม่ถึง 30 วินาที "ไม่ว่าจะมีการสมัครสมาชิก Kia Connect หรือไม่ก็ตาม"

ช่องโหว่ดังกล่าวยังเปิดเผยข้อมูลส่วนบุคคลที่สำคัญของเจ้าของรถ รวมถึงชื่อ, หมายเลขโทรศัพท์, ที่อยู่อีเมล และที่อยู่ทางกายภาพ และอาจทำให้ผู้โจมตีสามารถเพิ่มตนเองเป็นผู้ใช้คนที่สองในรถที่เป็นเป้าหมายโดยที่เจ้าของรถอาจไม่รู้ตัว

เพื่อสาธิตปัญหานี้เพิ่มเติม ทีมงานจึงได้สร้างเครื่องมือที่แสดงให้เห็นว่าผู้โจมตีสามารถเข้าถึงป้ายทะเบียนรถยนต์ และทำการล็อก หรือปลดล็อกรถ, สตาร์ท หรือหยุดรถ, บีบแตร หรือระบุตำแหน่งรถยนต์ได้อย่างไรภายในเวลา 30 วินาที

นักวิจัยได้ลงทะเบียนบนพอร์ทัลตัวแทนจำหน่าย kiaconnect.

เมื่อวันที่ 20 มีนาคมที่ผ่านมา VMGoA (Volkswagen Group of America, Inc.) ได้รับแจ้งจาก Vendor ว่ามีการเข้าถึงข้อมูลจากบุคคลที่ไม่ได้รับอนุญาต และได้ข้อมูลของลูกค้าของ Audi, Volkswagen และตัวแทนจำหน่ายบางราย โดยทาง VWGoA ได้ระบุว่าข้อมูลที่รัวไหลออกไปนั้น มีข้อมูลที่เกี่ยวข้องกับลูกค้า 3.3 ล้านคน โดย 97% เป็นของ Audi ซึ่งข้อมูลที่รั่วไหลนั้นประกอบไปด้วย ข้อมูลการติดต่อไปจนถึงข้อมูลหมายเลขประกันสังคมและหมายเลขเงินกู้

โดยทาง TechCrunch ได้รายงานเกี่ยวกับข้อมูลที่รั่วไหลออกไปนั้นจะประกอบไปด้วย ชื่อและนามสกุล ที่อยู่ส่วนบุคคลหรือทางธุรกิจ อีเมล หมายเลขโทรศัพท์ ข้อมูลเกี่ยวกับรถที่ซื้อหรือเช่า หมายเลขรถ (VIN) ยี่ห้อ รุ่น ปี สี และชุดแต่ง โดยข้อมูลดังกล่าว ยังมีข้อมูลที่มีความละเอียดอ่อนมากยิ่งขึ้นที่เกี่ยวข้องกับสิทธิ์ในการซื้อ เงินกู้ หรือสัญญาเช่า โดยมากกว่า 95% เป็นหมายเลขใบขับขี่ นอกจากนี้ยังมีข้อมูลของ วันเกิด ประกันสังคม เลขที่ประกัน เลขที่บัญชีหรือเงินกู้ และเลขประจำตัวผู้เสียภาษี อีกด้วย และสำหรับลูกค้า 90,000 ราย ที่มีการรั่วไหลของข้อมูลที่ละเอียดอ่อน ทาง Volkswagen จะให้การคุ้มครองเครดิต และบริการตรวจสอบฟรี ซึ่งรวมถึงประกันการโจรกรรมอีก 1 ล้านเหรียญสหรัฐ

แต่เป็นที่น่าสนใจ ข้อมูลที่รั่วไหลนั้นไม่ได้มาจาก Server ของทาง Volkswagen หรือ Audi แต่เป็นข้อมูลที่ทาง Vendor ของพวกเขาเก็บรวบรวมไว้ในช่วง 5 ปีระหว่าง 2014 ถึง 2019 โดยพวกเขากล่าวว่าข้อมูลดังกล่าวได้เก็บรวบรวมไว้เพื่อวัตถุประสงค์ทางการตลาดทั่วไป แต่ที่น่าเศร้าคือข้อมูลเหล่านั้นไม่ได้ถูกป้องกันและมีช่องโหว่

เนื่องจากข้อมูลของ Audi และ Volkswagen ไม่มีความปลอดภัยมาเป็นระยะเวลาหนึ่งแล้ว จึงไม่สามารถบอกได้ว่ามีข้อมูลใดบ้างที่ถูกเข้าถึงโดยไม่ได้รับอนุญาต ดังนั้นหากมีข้อความ อีเมล หรือการติดต่อใด ๆ ที่อ้างว่ามาจากทาง Audi หรือ Volkswagen ให้ถือว่าเป็นพฤติกรรมที่น่าสงสัยไว้เป็นอันดับแรก โดยเฉพาะอีเมลหรือข้อความ sms

ที่มา : bleepingcomputer