Egy Volkswagen tulajdonos komoly biztonsági hiányosságokat tárt fel a My Volkswagen mobilalkalmazásban, amely a gyártó járműveihez kínál digitális szolgáltatásokat. A felfedezett sebezhetőségek – amelyeket időközben a gyártó kijavított – lehetővé tették, hogy bárki, aki ismeri egy adott jármű alvázszámát, jogosulatlanul hozzáférjen érzékeny személyes adatokhoz, szervizinformációkhoz, valamint a csatlakoztatott funkciókhoz.
A tulajdonos 2024-ben, egy használt Volkswagen vásárlását követően kezdte el használni az alkalmazást. A regisztrációs folyamat során azonnal problémába ütközött: a bejelentkezéshez szükséges négyjegyű egyszer használatos kódot az előző tulajdonos telefonszámára küldte ki a rendszer. Mivel nem sikerült felvennie a kapcsolatot a korábbi tulajdonossal, elkezdte vizsgálni az alkalmazás viselkedését és annak hitelesítési mechanizmusát. Meglepő módon a rendszer nem alkalmazott rate limiting vagy account lockout funkciót, tehát nem tiltott le többszöri hibás próbálkozás után sem. A kutató a Burp Suite segítségével vizsgálta a hálózati forgalmat, majd egy Python scriptet írt, amely végigpróbálta a lehetséges 10 000 OTP kombinációt. A támadás – amely klasszikus brute-force technikára épült – sikeresen azonosította a helyes kódot, és ezzel teljes körű hozzáférést biztosított a járműhöz az applikáción keresztül.
A sikeres hitelesítést követően a kutató további hibákat azonosított az alkalmazás által használt API kommunikációban. A lekérdezések válaszaiban szerepeltek többek között: teljes nevek, telefonszámok, e-mail-címek, lakcímek, járműparaméterek, valamint részletes szervizinformációk is. Egyes esetekben még vezetői engedélyek számai és az ügyfelek végzettsége is elérhető volt. A legaggasztóbb, hogy bizonyos API végpontok cleartext formában tartalmaztak belső rendszerhozzáférési adatokat – például felhasználóneveket, jelszavakat, tokeneket –, amelyek különböző belső szolgáltatásokhoz tartoztak. Ez nemcsak súlyos adatvédelmi incidens, hanem kritikus kiberbiztonsági kockázat is, hiszen lehetőséget teremt célzott adathalász kampányokra, identitáslopásra, vagy akár szabotázsakciókra is.
A kutató a felelősségteljes vulnerability disclosure irányelveit követve 2024. november 23-án jelentette az incidenseket a Volkswagen biztonsági csapatának. A bejelentést négy napon belül elismerték, és megkezdődött egy három hónapos javítási folyamat. Május 6-án a vállalat hivatalosan is megerősítette, hogy az összes feltárt sérülékenységet orvosolták.
Bár a kutató anyagi díjazásban nem részesült, elégedettségét fejezte ki amiatt, hogy hozzájárulhatott a Volkswagen felhasználóinak adatbiztonságához.