A security researcher, Eaton Zveare, revealed at the DEF CON conference 2025 that he found serious vulnerabilities in the web portal used by dealers of a very well-known car manufacturer. The researcher chose not to publish the name of the manufacturer, to reduce the risk of exploitation of this vulnerability. The flaw allowed him to create a “national administrator” account with full access to this centralized system.
Once he obtained access, Zveare was able to view customers' personal and financial data, track vehicles in real time, and link any car to a mobile account, which allowed him to unlock doors or remotely start the vehicle with just the full name of the owner or the vehicle's VIN..
Aunque Zveare fue el primero en descubrir y reportar el fallo, sin evidencia de que terceros lo estuvieran explotando, el fabricante lo solucionó en aproximadamente una semana desde su divulgación.
Este incidente pone de manifiesto la fragilidad de los sistemas conectados: concesionarios que gestionan información sensible, vehículos controlables vía portal web y telemetría centralizada amplían peligrosamente la superficie de ataque. Es un nuevo ejemplo de que la ciberseguridad en el sector automotriz es una prioridad urgente.
Fountain: TechCrunch