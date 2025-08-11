Os carros estão integrando mais tecnologias digitais mais rápido do que nunca, mas isso também aumenta o risco de ameaças à segurança, que vão desde explorações do sistema multimídia até ataques sem chave. Há casos raros em que a própria montadora coloca seus clientes e motoristas em risco devido a falhas de segurança. Um caso semelhante ocorreu agora com um fabricante de automóveis, expondo potencialmente milhões de pessoas ao risco de sequestro.

O pesquisador de segurança Eaton Zveare compartilhou uma descoberta com o TechCrunch, que revelou vulnerabilidades graves em um portal da Web para concessionárias de uma grande montadora não identificada. As falhas expuseram dados confidenciais de clientes e veículos e poderiam ter permitido que os hackers realizassem ações como controle remoto indesejado e sequestro.

Falha de servidor permite que os hackers sequestrem carros remotamente

O pesquisador explicou que as falhas de segurança relacionadas a "duas autenticações de API fracas" permitiram que ele contornasse a segurança de login no portal da Web e criasse uma conta de administrador irrestrita em nível nacional modificando algum código carregado no navegador, sem precisar de credenciais válidas.

Posteriormente, isso concedeu à conta criada acesso a mais de 1.000 sistemas de concessionárias nos Estados Unidos. O portal de concessionárias é supostamente a mesma plataforma que os funcionários e associados estão autorizados a acessar para visualizar informações sobre clientes e veículos. O pior é que o logon único do portal pode permitir que os usuários alternem entre diferentes sistemas da concessionária.

Uma vez obtido o acesso, Zveare disse que era muito fácil para alguém com uma conta irrestrita pesquisar o nome de um cliente e combiná-lo com as informações do veículo por meio de uma ferramenta interna. Da mesma forma, era possível verificar um carro em um estacionamento e procurar seu proprietário.

No entanto, o que é mais preocupante é que os veículos com uma conta móvel conectada representam um risco maior de ataques e sequestros. Zveare disse à agência que os administradores poderiam controlar ou transferir contas de usuários sem autenticação de segurança.

Ele demonstrou como a exploração poderia funcionar em um cenário do mundo real. Com a permissão de um amigo com um veículo no portal, o pesquisador conseguiu controlá-lo remotamente, por exemplo, destravando o carro por meio do aplicativo móvel. Isso tem implicações sérias em casos de roubo e furto de carros organizados.

O principal bug de segurança foi corrigido

Zveare não revelou de qual fabricante de automóveis se tratava. No entanto, disse que se trata de uma marca conhecida com várias submarcas. Também não se sabe se as falhas de segurança afetaram portais equivalentes dessa montadora fora dos EUA, embora possa haver brechas semelhantes em subsidiárias no exterior.

A Kia foi afetada por um bug de sistema semelhante em 2024, que permitia que os invasores controlassem os veículos usando placas de veículos. / © Jonathan Weiss / Shutterstock.com

Além disso, Zveare declarou que essa descoberta foi informada ao fornecedor em fevereiro e que os bugs foram corrigidos em uma semana. Embora não houvesse evidência de exploração anterior na natureza, isso foi muito alarmante.

Esse não é o único caso em que uma montadora foi o motivo de grandes vulnerabilidades de segurança. No ano passado, pesquisadores exploraram o portal de concessionárias da Kia para controlar remotamente veículos usando números de placas de veículos. Enquanto isso, a imprensa divulgou amplamente que a Volkswagen expôs os dados pessoais de mais de 800.000 proprietários de veículos elétricos.

No seu caso, que medidas de segurança você sugere para ajudar a proteger seus dados e seu veículo contra hackers? Devemos realmente confiar nossos dados a essas empresas?