ช่องโหว่ในพอร์ทัลตัวแทนจำหน่าย เปิดช่องแฮกเกอร์เจาะระบบรถลูกค้าได้จากระยะไกล
ในงาน DEF CON 33 ที่จัดขึ้นเมื่อเดือนสิงหาคม 2025 นักวิจัยด้านความปลอดภัยไซเบอร์ ได้เปิดเผยช่องโหว่ร้ายแรงในระบบพอร์ทัลสำหรับตัวแทนจำหน่ายของผู้ผลิตรถยนต์รายใหญ่รายหนึ่ง ซึ่งใช้ในศูนย์ตัวแทนจำหน่ายทั่วสหรัฐอเมริกา ช่องโหว่นี้ทำให้ผู้ไม่หวังดีสามารถสร้างบัญชีตัวแทนจำหน่ายปลอมและเข้าถึงฟีเจอร์ควบคุมรถยนต์จากระยะไกลได้ เช่น การปลดล็อกประตู การสตาร์ทเครื่องยนต์ และการติดตามตำแหน่งรถยนต์ รวมถึงสามารถเข้าถึงข้อมูลลูกค้าหลายพันรายได้ด้วย
ระบบพอร์ทัลดังกล่าวพัฒนาด้วย AngularJS สำหรับส่วนติดต่อผู้ใช้และใช้ SAP/Java เป็น backend โดยออกแบบให้มีการลงทะเบียนเฉพาะผู้ได้รับเชิญ (invite-only registration) ที่ต้องใช้ Invite Token สำหรับการสร้างบัญชีตัวแทนจำหน่าย แต่พบว่า backend ไม่มีการตรวจสอบความถูกต้องของ Invite Token อย่างเข้มงวด ทำให้แฮกเกอร์สามารถสร้างบัญชีตัวแทนจำหน่ายได้โดยไม่ต้องมีโทเค็นจริง ด้วยการเปิดใช้งานฟอร์มลงทะเบียนลับผ่านการปรับแต่ง CSS และส่งค่า Invite Token เป็นค่าว่าง
หลังจากนั้น ระบบจะมอบ session ที่ใช้งานได้จริง (JSESSIONID) ให้กับผู้โจมตีทันที ซึ่งทำให้แฮกเกอร์สามารถเข้าถึงฟีเจอร์และ API ภายในของระบบที่ออกแบบมาสำหรับตัวแทนจำหน่าย และยกระดับสิทธิ์ผู้ใช้ไปถึงระดับ national admin ได้ ส่งผลให้แฮกเกอร์สามารถควบคุมฟังก์ชันการทำงานของรถยนต์ เช่น การปลดล็อกประตู การสตาร์ทเครื่องยนต์ และการติดตามตำแหน่งรถยนต์ผ่านแอปพลิเคชันมือถือ รวมถึงเข้าถึงและจัดการข้อมูลลูกค้าหลายพันรายได้อย่างครบถ้วน
นักวิจัยได้ทดลองใช้ช่องโหว่นี้กับรถยนต์ของเพื่อนร่วมงานที่ให้ความยินยอม พบว่าสามารถปลดล็อกประตู สตาร์ทเครื่องยนต์ และติดตามตำแหน่งรถได้จากระยะไกลผ่านแอปได้จริง แม้ว่าจะไม่ได้ทดลองสตาร์ทขับเคลื่อนออกจากที่จอดก็ตาม นอกจากนี้ยังสามารถใช้ฟีเจอร์ impersonation เพื่อสวมรอยเป็นพนักงานคนอื่นภายในระบบและเชื่อมต่อกับระบบภายนอกผ่าน Single Sign-On (SSO) ได้ ซึ่งเพิ่มความรุนแรงของช่องโหว่และเสี่ยงต่อการถูกเจาะระบบในวงกว้าง
หลังได้รับแจ้ง บริษัทผู้ผลิตรถยนต์ได้ดำเนินการแก้ไขและอุดช่องโหว่ดังกล่าวอย่างรวดเร็วภายในระยะเวลาเพียงหนึ่งสัปดาห์ พร้อมยืนยันว่าไม่พบการใช้งานช่องโหว่จากผู้ไม่หวังดีนอกเหนือจากการทดสอบของนักวิจัย
เหตุการณ์นี้สะท้อนให้เห็นถึงความสำคัญในการออกแบบระบบความปลอดภัยในพอร์ทัลที่เชื่อมต่อกับลูกค้าและตัวแทนจำหน่าย โดยเฉพาะการตรวจสอบสิทธิ์ (authentication) และการจัดการสิทธิ์ (authorization) ที่ต้องมีความเข้มงวด เพื่อป้องกันไม่ให้ช่องโหว่เล็กน้อยกลายเป็นช่องทางสำคัญที่เปิดประตูให้แฮกเกอร์เข้าถึงข้อมูลและระบบควบคุมรถยนต์ได้อย่างเต็มรูปแบบ