Celah Besar Portal Dealer Mobil Bisa Biarkan Hacker Kontrol Mobil dari Jarak Jauh

Seorang peneliti keamanan bernama Eaton Zveare menemukan celah serius pada portal online sebuah produsen mobil besar yang menghubungkan dealer di seluruh Amerika Serikat. Celah ini memungkinkan pembuat akun admin nasional tanpa perlu melalui proses login yang benar, sehingga bisa mengakses data pribadi dan kendaraan pelanggan. Dengan akun admin tersebut, hacker bisa melihat data finansial pelanggan, melacak lokasi kendaraan secara real-time, dan bahkan mentransfer kepemilikan mobil melalui fitur portal yang hanya mengandalkan janji lisan, tanpa verifikasi kuat. Hal ini sangat berbahaya karena memungkinkan akses kontrol dari jarak jauh. Sistem portal ini juga mempunyai fitur single sign-on yang memungkinkan pengguna berpindah antar sistem dealer hanya dengan satu login, serta fitur 'impersonasi' yang memberi admin kemampuan mengakses akun pengguna lain tanpa perlu password mereka. Fitur-fitur ini menambah risiko besar bagi keamanan data dan operasi dealer. Peneliti tersebut melakukan pengujian dengan persetujuan teman untuk mentransfer kepemilikan mobil dan menunjukkan bagaimana sistem tersebut rentan disalahgunakan. Meskipun belum ada indikasi eksploitasi secara luas, celah ini sangat berbahaya jika jatuh ke tangan yang salah. Setelah pelaporan, produsen mobil langsung memperbaiki bug dalam waktu sekitar satu minggu pada awal 2025. Temuan ini memperingatkan bahwa celah autentikasi sederhana bisa membuka pintu bagi akses tak terbatas ke data dan kontrol kendaraan, menyoroti pentingnya keamanan siber di industri otomotif.