Сотрудниками компании Vulnerability Labs был проведен анализ официального веб-сайта концерна BMW и портала Connected Drive, в результате чего обнаружилось несколько уязвимостей в их работе.
Первая крупная ошибка касается именно портала Connected Drive. Для аутентификации там используется VIN-номер автомобиля пользователя, но если хакер введет чужой номер, то получит контроль над учетной записью чужого автомобиля.
Что касается уязвимостей официального сайта BMW, то там опасность подстерегает во время восстановления своего пароля при авторизации. В этот момент хакеры могут провести межсайтовый скриптинг и получить доступ к паролю хозяина учетной записи.
Данные недоработки сотрудники Vulnerability Labs нашли уже давно. В феврале они сообщили о них представителям BMW, но спустя некоторое время бреши в защите устранены не были. Потому специалисты решили огласить данную информацию.