Um pesquisador de segurança digital descobriu uma vulnerabilidade preocupante no sistema online de uma grande montadora de veículos — e, segundo ele, a falha poderia ter permitido que criminosos acessassem dados pessoais dos clientes e até abrissem os carros remotamente.
Eaton Zveare, especialista em segurança da empresa Harness, contou ao TechCrunch que conseguiu criar uma conta de administrador com acesso total ao portal centralizado usado pelas concessionárias da marca.
Com esse tipo de acesso, seria possível visualizar informações pessoais e financeiras, rastrear veículos em tempo real e até ativar recursos que permitem controlar funções do carro de qualquer lugar.
“Basicamente, você poderia acessar dados de mais de mil concessionárias sem ninguém perceber”, disse Zveare.
Como a falha foi descoberta
Zveare não revelou o nome da montadora, mas disse que se trata de uma fabricante muito conhecida, com várias marcas populares.
Ele encontrou o problema no início de 2025, durante um projeto de fim de semana. O erro estava no código do portal, que era carregado diretamente no navegador do usuário. Alterando esse código, ele conseguiu pular a tela de login e criar uma conta especial chamada “admin nacional”.
A partir daí, ele teve acesso a:
- Mais de 1.000 concessionárias nos EUA
- Ferramentas para buscar dados de clientes e veículos
- Sistemas conectados por login único (single sign-on), permitindo saltar de um sistema a outro sem novas senhas
- Função para “se passar” por outros usuários, acessando suas contas sem autorização
Teste no mundo real
Em um dos testes, Zveare pegou o número de identificação (VIN) no para-brisa de um carro estacionado e conseguiu descobrir quem era o dono.
Ele também testou, com a permissão de um amigo, a função que emparelha um carro a uma conta de aplicativo. Bastava confirmar — quase como um “pinky promise” — que a transferência era legítima, sem qualquer verificação real.
Com isso, ele conseguiu controlar funções do carro pelo celular, como destravar as portas.
Embora não tenha tentado dirigir o veículo, Zveare alertou que um invasor poderia facilmente usá-lo para roubar itens ou até furtar o carro.
Problemas de segurança mais amplos
Zveare destacou que a função de “impersonar” usuários e o login único tornam o sistema um “pesadelo de segurança”, já que um único ponto vulnerável abre as portas para todos os sistemas conectados.
Ele também encontrou informações sensíveis, como:
- Dados pessoais e financeiros de clientes
- Localização em tempo real de veículos de cortesia ou em transporte
- Opção para cancelar entregas de carros em trânsito (função que ele não testou)
Resposta e lição aprendida
A montadora corrigiu as falhas em cerca de uma semana, em fevereiro de 2025, logo após a notificação de Zveare.
Segundo o pesquisador, o problema se resumia a duas falhas simples de API, ambas relacionadas à autenticação.
“Se você erra na autenticação, todo o resto desmorona”, concluiu.
