Peretas topi putih meretas portal pemasok Toyota

Perusahaan mempekerjakan peretas “topi putih” untuk membantu mengidentifikasi kelemahan jaringan sepanjang waktu, umumnya menawarkan hadiah untuk setiap kerentanan yang mereka temukan dan laporkan. Pembuat mobil tidak terkecuali, dan dengan proliferasi kendaraan yang terhubung dengan akses internet sepanjang waktu, risiko keamanan telah tumbuh dengan cepat. Toyota baru-baru ini mengetahui masalah dengan portal pemasoknya, di mana peretas topi putih dapat mengakses akun email, dokumen, dan informasi rahasia lainnya.

Berita Otomotif melaporkan bahwa Eaton Zveare, seorang peretas penghobi (dan peternak lebah) dari Florida, menemukan kerentanan tersebut dan melaporkannya ke Toyota November lalu. Pembuat mobil dengan cepat menutup pelanggaran dan berterima kasih kepada Zveare tetapi berhenti membayar hadiah, yang menurutnya dapat mendorong peretas yang kurang terhormat untuk menjual rahasia ke pasar gelap alih-alih melaporkannya. Perlu dicatat bahwa Toyota memiliki program bagi para peneliti untuk melaporkan kerentanan, tetapi tidak jelas apakah Zveare menggunakannya.

Zveare menemukan kelemahan di portal pemasok Toyota dengan membuat token web menggunakan alamat email Toyota. Sistem mengotentikasi dia tanpa kata sandi, membuka pintu ke segala macam informasi rahasia perusahaan. Yang harus dia lakukan hanyalah mencari alamat email Toyota yang valid di internet. Setelah masuk, dia mengulangi proses akses untuk mengambil alih akun email dengan izin administrator sistem.

Zveare memiliki akses baca-tulis ke 14.000 alamat email Toyota, dan tidak sulit untuk melihat bagaimana aktor jahat dapat menyebabkan masalah signifikan bagi Toyota. Kabar baiknya, setidaknya bagi pelanggan, adalah eksploitasi Zveare tidak memberinya akses ke informasi pribadi mereka.

Pada bulan September tahun lalu, peretas topi putih lainnya memberi tahu pembuat mobil tentang kerentanan dengan layanan telematika yang disertakan dalam fungsi radio SiriusXM. Toyota lamban dalam mengadopsi fitur teknologi seperti Apple CarPlay dan Android Auto, dengan alasan privasi pelanggan dan data, jadi mengejutkan melihat masalah ini sekarang.

Yang mengatakan, hack ini cukup jinak untuk pemilik kendaraan sehari-hari, tidak seperti yang lain dalam sejarah. Sam Curry, orang di balik laporan Toyota tahun lalu, telah menemukan masalah dengan Hyundai, Acura, Land Rover, dan lainnya yang memungkinkan peretas mengakses fungsi kendaraan melalui SiriusXM, dan beberapa pembuat mobil menemukan kerentanan dalam aplikasi seluler mereka yang semakin kuat. Kabar baiknya adalah mereka cenderung memperbaiki masalah dengan cepat, tetapi seseorang harus menemukan dan melaporkannya terlebih dahulu.

Video terkait: