Хакерам удалось взламывать BMW через официальный сайт производителя
Персонал корпорации Vulnerability Labs провел исследование официального веб-портала автомобильного концерна BMW, а также сайта Connected Drive. Это позволило выявить некоторые уязвимости в их работе.
Разбор основных ошибок начался с ресурса Connected Drive. Для аутентификации разработчики сайта используют VIN-номер транспортного средства пользователя. В случае, если ввести чужой номер, то можно получить доступ к учетной записи другого авто.
Касательно же автомобильного гиганта BMW, то там возникает опаска в ходе восстановления своего пароля при авторизации. Хакерам легко удастся провести межсайтовый скриптинг и завладеть паролем владельца учетной записи.
Это недочеты сотрудники Vulnerability Labs обнаружили очень давно. В конце зимы руководство BMW было осведомлено о них, но замечания так и не были приняты во внимание.
