Персонал корпорації Vulnerability Labs провів дослідження офіційного веб-порталу автомобільного концерну BMW, а також сайту Connected Drive. Це дозволив виявити деякі уразливості в їх роботі.
Розбір основних помилок почався з ресурсу Connected Drive. Для аутентифікації розробникі сайту використовують VIN-номер транспортного засобу користувача. У разі, якщо ввести чужий номер, то можна отримати доступ до облікового запису іншого авто.
Щодо автомобільного гіганта BMW, то там виникає побоювання в ході відновлення пароля при авторизації. Хакерам легко вдасться провести міжсайтовий скриптінг і заволодіти паролем власника облікового запису.
Це недоліки співробітники Vulnerability Labs виявили дуже давно. Наприкінці зими керівництво BMW було інформовано про них, але зауваження так і не були прийняті до уваги.
