Istraživač otkrio bezbednosni propust u Volkswagenovoj aplikaciji
Indijski IT stručnjak za bezbednost otkrio je bezbednosni propust u aplikaciji „My Volkswagen“, preko kojeg su hakeri mogli da pristupe podacima o korisnicima i vozilima samo unošenjem identifikacionog broja vozila (VIN). Volkswagen je u međuvremenu otklonio ovaj propust – a pogođena je bila isključivo indijska verzija aplikacije.
Višal Baskar je na problem naišao ne u ulozi IT stručnjaka, već kao VW-ov korisnik – barem u početku. U blog postu, Baskar objašnjava da je nakon kupovine polovnog automobila želeo da putem aplikacije „My Volkswagen“ pristupi svom vozilu. Za to je neophodno jednokratno lozinka (OTP), koja je, međutim, nakon slanja završila u elektronskom sandučetu prethodnog vlasnika.
Nedostatak kontrole pristupa izazvao sumnju kod IT stručnjaka
Pošto nije uspeo da odmah telefonski kontaktira prethodnog vlasnika, Baskar je detaljnije ispitao aplikaciju. Ni nakon više pogrešnih pokušaja unos lozinke nije bio blokiran. Tada je analizirao zahteve API VW-ove aplikacije i napravio skriptu koja je putem metode „brute force“ automatski isprobavala sve moguće kombinacije četvorocifrene lozinke. Za samo nekoliko sekundi, skripta je pronašla tačan OTP kod, i Baskar je dobio pristup podacima o vozilu.
Zabrinjavajuće je to što mu je za ovaj pristup bio potreban samo identifikacioni broj vozila iliti broj šasije (VIN), koji je lako vidljiv sa spoljne strane automobila kroz šoferšajbnu.
Dalje istraživanje otkrilo još ozbiljnije propuste
Baskar je nastavio s analizom i, prema svom blog postu, otkrio još jedan „API endpoint“ koji je u nešifrovanom obliku prikazivao lozinke, korisnička imena i pristupne tokene za određene VW-ove servise. Preko drugog „API endpointa“ mogao je da vidi sve servisne i pakete održavavanja koji su aktivirani za to vozilo. Među nezaštićenim podacima nalazile su se i informacije o ugovorima, plaćanjima, kao i lični podaci poput imena, brojeva telefona, adresa i mejl adresa.
Dalji API zahtevi prikazivali su istoriju poseta servisima i telemetrijske podatke vozila, uz pomoć kojih je, prema Baskaru, bilo moguće daljinski pratiti lokaciju automobila. U pojedinim slučajevima je, kako tvrdi, pronašao čak i podatke o obrazovanju vlasnika, vozačkoj dozvoli i kontaktima za hitne slučajeve. Prema njegovim rečima, ovi podaci su pokazali „ozbiljnost“ curenja informacija.
Prema sopstvenim navodima, Baskar je o tim saznanjima obavestio Volkswagen još u novembru 2024. Isprva je imao poteškoće da pronađe odgovornu osobu, ali tim Volkswagena je brzo reagovao i četiri dana nakon prvog mejla poslao potvrdu o prijemu izveštaja.
Tokom naredna tri meseca Baskar je ostao u kontaktu s VW-ovom timom putem mejla i opisao saradnju kao „vrlo brzu i efikasnu“. Dana 6. maja 2025. konačno je dobio potvrdu da su svi pronađeni bezbednosni propusti otklonjeni. Ipak, za razliku od prakse u IT industriji gde se često dodeljuju nagrade za prijavljene propuste, Baskar nije dobio nikakvu novčanu nadoknadu.
AutoRepublika
(93)
Baš ga bogato nagradiše.
„Bravo“ za VW .
„Baskar nije dobio nikakvu novčanu nadoknadu.“
Iz nekog neobjasnjivog razloga, Nemci ne vole da isticu i nagradjuju kreativne pojedince. Uspeh pojedinca pokriva se „timskim radom“, verovatno je u pitanju naivna strategija rukovodilaca da sprece pojavu zavisti u svojim timovima. Licno sam vise puta bio pogodjen takvim stavom mojih sefova. Resenje: menjam firmu, trazim bolje placeni posao. Posledica: sami Nemci priznaju da nisu atraktivni za strane strucnjake. Istovremeno njihovi specijalci napustaju Nemacku. Kreativnost u Nemackoj je u opadanju.