摘要：一名安全研究人员发现，某知名汽车制造商的在线经销商门户存在严重安全漏洞，导致客户的私人信息和车辆数据暴露。该漏洞允许黑客远程访问客户车辆，并创建一个“国家管理员”账户，从而实现对制造商集中式网络门户的无限制访问。通过未授权访问，恶意行为者能够查看客户的个人和财

一名安全研究人员发现，某知名汽车制造商的在线经销商门户存在严重安全漏洞，导致客户的私人信息和车辆数据暴露。该漏洞允许黑客远程访问客户车辆，并创建一个“国家管理员”账户，从而实现对制造商集中式网络门户的无限制访问。通过未授权访问，恶意行为者能够查看客户的个人和财务信息，追踪车辆，并将客户注册到可远程控制汽车功能的系统中。研究人员Eaton Zveare在Def Con安全会议上表示，这一漏洞暴露了经销商系统的安全风险，尤其是员工和合作伙伴对客户及车辆信息的广泛访问权限。尽管该汽车制造商未发现漏洞被早期利用的证据，Zveare表示他可能是首位发现并报告此问题的人。

一名安全研究人员透露，一家汽车制造商的在线经销商门户存在漏洞，暴露了其客户的私人信息和车辆数据。这一漏洞可能使黑客能够远程访问任何客户的车辆。软件交付公司Harness的安全研究员Eaton Zveare向TechCrunch透露，他发现的漏洞使得创建一个管理员账户成为可能，从而提供了对该汽车制造商集中式网络门户的“无限制访问”。

通过这种未经授权的访问，恶意行为者可以查看客户的个人和财务数据，跟踪车辆，并将客户注册到可以从任何地点控制汽车各种功能的功能中。Zveare选择不透露该供应商的名称，但表示这是一家知名的汽车制造商，拥有多个受欢迎的子品牌。在他于周日的Def Con安全会议上与TechCrunch的采访中，他强调这些漏洞突显了与经销商系统相关的安全风险，这些系统赋予员工和合作伙伴广泛访问客户和车辆信息的权限。

Zveare曾经在汽车制造商的客户和车辆管理系统中识别出漏洞，他在今年早些时候的一次周末项目中发现了这一漏洞。尽管最初很难找到，但一旦他识别出门户登录系统中的缺陷，就可以通过创建一个“国家管理员”账户完全绕过登录机制。当访问门户的登录页面时，用户的浏览器中加载了有问题的代码，使Zveare能够操纵代码并绕过登录安全检查。他报告说，该汽车制造商没有发现早期利用该漏洞的证据，表明他可能是第一个发现并报告此问题的人。一旦登录，该账户可以访问美国超过1,000个经销商。

来源：老孙科技前沿