الرئيسية » «كارثة أمنية» ثغرات خطيرة تهدد باختراق سيارات عن بعد وكشف بيانات مالكيها

«كارثة أمنية» ثغرات خطيرة تهدد باختراق سيارات عن بعد وكشف بيانات مالكيها

شادي سرور Updated on تصنيف اخبار
«كارثة أمنية» ثغرات خطيرة تهدد باختراق سيارات عن بعد وكشف بيانات مالكيها

في تطور يثير القلق، اكتشف باحث أمني وجود ثغرات أمنية خطيرة في البوابة الإلكترونية لإحدى كبرى شركات تصنيع السيارات على مستوى العالم، مما يفتح الباب أمام تهديدات غير مسبوقة، هذه الثغرات مكنت مخترقًا واحدًا من الوصول إلى بيانات حساسة لآلاف العملاء والتحكم في سياراتهم عن بُعد، من أي مكان في العالم، مما يسلط الضوء على المخاطر المتزايدة في عالم السيارات المتصلة

الوصول غير المقيد إلى أنظمة الشركة

إيتون زفير، الباحث الأمني في شركة Harness، أوضح أن الخلل الذي اكتشفه كان بالغ الخطورة، حيث سمح بإنشاء حساب “مسؤول وطني” يمنح وصولاً غير مقيد إلى أنظمة الشركة الحيوية، هذا الوصول الشامل شمل:

  • المعلومات الشخصية والمالية للعملاء.
  • تتبع مواقع المركبات بدقة.
  • تفعيل ميزات التحكم عن بُعد، مثل فتح الأبواب عبر الهاتف المحمول.

هذا المستوى من الوصول يمثل تهديدًا كبيرًا للخصوصية والأمن على حد سواء

شركة عالمية بعلامات تجارية شهيرة

على الرغم من رفض زفير الكشف عن اسم الشركة المعنية، إلا أنه أكد أنها شركة معروفة عالميًا ولها علامات تجارية فرعية شهيرة، وفقًا لتقرير نشره موقع “تك كرانش” واطلعت عليه “العربية Business”، هذا التكتم يثير تساؤلات حول مدى انتشار هذه الثغرات وتأثيرها المحتمل على قطاع صناعة السيارات بأكمله

كيف تم اكتشاف الثغرة؟

أشار زفير إلى أن الثغرة اكتُشفت في مطلع العام الجاري خلال مشروع جانبي، وكشف أن الخلل كان يكمن في نظام تسجيل الدخول، حيث أمكن تجاوز آلية التحقق وإنشاء حسابات إدارية بصلاحيات واسعة، هذا الاكتشاف يوضح أهمية إجراء اختبارات أمنية دورية وشاملة للكشف عن نقاط الضعف المحتملة

الوصول إلى بيانات الوكلاء والعملاء

وفقًا لزفير، وفّر هذا الاختراق القدرة على الوصول إلى بيانات أكثر من 1000 وكيل في أميركا، مع إمكانية البحث عن أصحاب السيارات باستخدام الاسم أو رقم الهيكل (VIN)، وربط المركبات بحسابات جديدة للتحكم بها، هذا يعني أن المخترق كان بإمكانه الوصول إلى معلومات حساسة للغاية والتحكم في السيارات دون علم أصحابها

أقرأ كمان:  «صفقة برازيلية جديدة» مارسيليا يوقع رسميًا مع المهاجم إيجور بايكساو

إثبات عملي للاختراق

لإثبات خطورة الثغرة، قام الباحث بتجربة عملية بموافقة أحد أصدقائه، حيث تمكن من الاستيلاء على حساب سيارته وفتحها عن بُعد، هذا الإثبات العملي يوضح مدى سهولة استغلال الثغرة والتأثيرات المدمرة التي يمكن أن تترتب عليها

انتحال هوية المستخدمين

أشار زفير أيضًا إلى أن البوابة تتيح ميزة انتحال هوية المستخدمين، مما يسمح بالدخول إلى أنظمة وكلاء آخرين دون الحاجة إلى بياناتهم الخاصة، ووصف هذا المشهد بأنه “كوابيس أمنية تنتظر الحدوث”، هذه الميزة تزيد من خطورة الثغرة وتجعلها أكثر جاذبية للمخترقين

مخاطر تتجاوز التحكم في السيارات

لم تتوقف المخاطر عند التحكم في السيارات، بل شملت أيضًا إمكانية تتبع السيارات المستأجرة أو المشحونة في الوقت الفعلي، وحتى إلغاء شحنها، وهو أمر لم يختبره الباحث عمليًا، هذه الاحتمالات تثير مخاوف جدية بشأن الأمن والسلامة في قطاع النقل والخدمات اللوجستية

إصلاح الثغرات والتحذير من الأخطاء البسيطة

لحسن الحظ، قامت الشركة المعنية بإصلاح الثغرات في غضون أسبوع من إبلاغها في فبراير 2025، وشدد زفير على أن الخلل كان سببه ثغرتان بسيطتان في واجهة برمجة التطبيقات (API) تتعلقان بالمصادقة، محذرًا: “إذا أخطأت فيهما، ينهار كل شيء”، هذا التحذير يسلط الضوء على أهمية الاهتمام بأدق التفاصيل في تصميم الأنظمة الأمنية

مواضيع تهمك