Şirketler her zaman ağ zayıflıklarını belirlemeye yardımcı olmaları için “beyaz şapkalı” bilgisayar korsanları tutarlar ve genellikle buldukları ve rapor ettikleri tüm güvenlik açıkları için bir ödül sunarlar. Otomobil üreticileri de bir istisna değil ve 24 saat internet erişimi olan bağlantılı araçların çoğalmasıyla birlikte güvenlik riskleri de aynı hızla arttı. Toyota kısa bir süre önce tedarikçi portalıyla ilgili, beyaz şapkalı bir bilgisayar korsanının e-posta hesaplarına, belgelere ve diğer gizli bilgilere erişebileceği bir sorun olduğunu öğrendi.
Otomotiv Haberleri Florida’lı bir bilgisayar korsanı (ve arıcı) olan Eaton Zveare’nin güvenlik açığını bulduğunu ve geçen Kasım ayında Toyota’ya bildirdiğini bildirdi. Otomobil üreticisi açığı hızla kapattı ve Zveare’e teşekkür etti, ancak daha az dürüst bilgisayar korsanlarını sırları bildirmek yerine karaborsaya satmaya teşvik edebileceğini söylediği bir ödül ödemekten vazgeçti. Toyota’nın araştırmacıların güvenlik açıklarını bildirmeleri için mevcut bir programı olduğunu belirtmekte fayda var, ancak Zveare’nin bunu kullanıp kullanmadığı belli değil.
Zveare, bir Toyota e-posta adresi kullanarak bir web belirteci oluşturarak Toyota’nın tedarikçi portalındaki zayıflığı keşfetti. Sistem, onu şifresiz olarak doğruladı ve her türlü gizli kurumsal bilgiye kapıyı açtı. Tek yapması gereken internette geçerli bir Toyota e-posta adresi aramaktı. İçeri girdikten sonra, sistem yöneticisi izinlerine sahip bir e-posta hesabını devralmak için erişim sürecini tekrarladı.
Zveare, 14.000 Toyota e-posta adresine okuma-yazma erişimine sahipti ve kötü niyetli bir oyuncunun Toyota için nasıl önemli sorunlara yol açabileceğini görmek zor değil. En azından müşteriler için iyi haber, Zveare’nin istismarlarının kişisel bilgilerine erişmesine izin vermemiş olmasıdır.
Geçen yıl Eylül ayında, başka bir beyaz şapkalı bilgisayar korsanı, otomobil üreticisine SiriusXM radyo işlevlerine dahil olan telematik hizmetlerindeki bir güvenlik açığını bildirdi. Toyota, müşteri ve veri gizliliğini öne sürerek Apple CarPlay ve Android Auto gibi teknik özellikleri benimsemekte yavaş kaldı, bu nedenle bu sorunları şimdi görmek şaşırtıcı.
Bununla birlikte, bu hack, yakın tarihteki diğerlerinden farklı olarak, günlük araç sahipleri için oldukça iyi huyludur. Geçen yılki Toyota raporunun arkasındaki kişi olan Sam Curry, Hyundai, Acura, Land Rover ve diğerleri ile bilgisayar korsanlarının SiriusXM aracılığıyla araç işlevlerine erişmesine izin veren sorunlar buldu ve bazı otomobil üreticileri, giderek daha güçlü hale gelen mobil uygulamalarında güvenlik açıkları buldu. İyi haber şu ki, sorunları hızlı bir şekilde çözme eğilimindedirler, ancak önce birisinin bunları bulup bildirmesi gerekir.
İlgili video:
Kaynak : https://www.autoblog.com/2023/02/08/white-hat-hacker-toyota-supplier-portal/