यो कार निर्माताको सानो सुरक्षा कमजोरीका कारण ह्याकरले ग्राहकका कार यसरी नियन्त्रण गरे

काठमाडौं ।

ज्वेयरले बिक्रेताको नाम खुलाउने योजना नभएको तर कम्पनी विश्वव्यापी रूपमा चिनिएको र लोकप्रिय उप-ब्रान्डहरू भएको बताएका छन्।

लास भेगासमा आइतबार हुने डेफ कान सुरक्षा सम्मेलनको पूर्वसाक्षात्कारमा, ज्वेयरले यी डिलरशिप प्रणालीहरूको सुरक्षामा ध्यान दिनुपर्ने बताएका छन्, जसले कर्मचारीहरूलाई ग्राहक र सवारीसाधनसम्बन्धी विस्तृत पहुँच दिन्छ।

पहिले पनि उनले कार निर्माताको ग्राहक प्रणाली र सवारीसाधन व्यवस्थापन प्रणालीमा कमजोरीहरू पत्ता लगाइसकेका छन्। यसपटकको कमजोरी उनले यस वर्षको सुरुतिर साप्ताहिक परियोजना अन्तर्गत फेला पारेका हुन्।

उनका अनुसार पोर्टलको लगइन प्रणालीमा रहेको सुरक्षा कमजोरी फेला पार्न चुनौतीपूर्ण भए पनि, एकपटक पत्ता लगाएपछि उनले लगइन प्रणालीलाई नै बाइपास गर्दै “नेशनल एडमिन” खाता बनाउन सके।

यो कमजोरी समस्याग्रस्त थियो किनकि पोर्टलको लगइन पेज खोल्दा ब्राउजरमा लोड भएको बगयुक्त कोड प्रयोगकर्ताले परिमार्जन गर्न सक्थ्यो, जसले लगइन सुरक्षा जाँच बाइपास गर्न सकिने अवस्था बनायो। कार निर्माता कम्पनीले अघिल्लो दुरुपयोगको कुनै प्रमाण नभेटेको र ज्वेयर नै पहिलो पत्ता लगाउने व्यक्ति भएको जनाएको उनले बताए।

रोयटर्सका अनुसार लगइन भएपछि उक्त खाताले अमेरिकाभरका एक हजारभन्दा बढी डिलरहरूमा पहुँच दिएको थियो। ज्वेयरका अनुसार, डिलरशिप पोर्टलभित्र एउटा राष्ट्रिय उपभोक्ता खोजी उपकरण थियो जसले लगइन भएका प्रयोगकर्तालाई सवारीसाधन र चालकको विवरण खोज्न अनुमति दिन्थ्यो।

एउटा उदाहरणमा उनले सार्वजनिक पार्किङमा राखिएको कारको विन नम्बर प्रयोग गरी त्यसको मालिक पहिचान गरेका थिए। उपकरणमार्फत केवल ग्राहकको नाम थाहा पाएर पनि जानकारी खोज्न सकिन्थ्यो।

पोर्टलको पहुँचसँगै कुनै पनि सवारीसाधनलाई मोबाइल खातासँग जडान गर्न सकिन्थ्यो, जसले मोबाइल एपमार्फत टाढैबाट गाडी अनलकजस्ता कार्य गर्न अनुमति दिन्थ्यो। ज्वेयरले यो सुविधा एक साथीको सहमतिमा परीक्षण गर्दा, स्वामित्व स्थानान्तरणको क्रममा केवल प्रयोगकर्ता वैध भएको प्रमाणिकरण आवश्यक पर्थ्यो।

उनका अनुसार, यो सुविधा दुरुपयोग गरेर पार्किङमा रहेका गाडीमा प्रवेश गर्न वा सामान चोर्न सकिने खतरा छ। यो पोर्टलको अर्को समस्या भनेको, एउटै लगइन प्रमाणपत्र प्रयोग गरेर विभिन्न डिलर प्रणालीमा प्रवेश दिने सिङ्गल साइन-इन सुविधा थियो, जसले एक प्रणालीबाट अर्कोमा सजिलै पुग्न सकिने बनाएको थियो।

यससँगै, एडमिन खाताले अन्य प्रयोगकर्ताको रूपमा “इम्पर्सोनेट” गर्ने सुविधा पनि दिएको थियो, जसले प्रयोगकर्ताको लगइनबिनै उनीहरूको प्रणालीमा प्रवेश गर्न सकिने अवस्था बनाएको थियो। ज्वेयरका अनुसार, यो २०२३ मा टोयोटा डिलर पोर्टलमा फेला परेको सुविधासँग मिल्दोजुल्दो थियो।

पोर्टलभित्र उनले ग्राहकको पहिचानयोग्य विवरण, केही वित्तीय जानकारी, र वास्तविक समयमा भाडामा दिइएका वा पठाइँदै गरेका गाडीहरूको स्थान देखाउने टेलिम्याटिक्स प्रणाली भेटेका थिए, जसलाई रद्द गर्न पनि सकिन्थ्यो। तर उनले यो परीक्षण गरेनन्। ज्वेयरका अनुसार, उनले फेब्रुअरी २०२५ मा कार निर्माता कम्पनीलाई जानकारी दिएपछि एक साताभित्र यी कमजोरीहरू समाधान गरियो।

“मुख्य कुरा यो हो कि केवल दुई साधारण एपीआई कमजोरीहरूले पूरै प्रणालीको ढोका खोलेका थिए, र यो सधैं प्रमाणीकरणसँग सम्बन्धित हुन्छ,” उनले भने। “यदि तपाईं प्रमाणीकरणमा गल्ती गर्नुभयो भने, सबै कुरा ढल्छ।”