Onderzoekers hebben verschillende kwetsbaarheden ontdekt waardoor het mogelijk was om auto's van Kia, Honda, Infiniti, Nissan en Acura alleen met behulp van een VIN-nummer op afstand te openen en starten. In het geval van Hyundai volstond alleen een e-mailadres. Verder bleken er in systemen van de eerder genoemde autofabrikanten, alsmede Toyota, Ford, Jaguar, Land Rover en Porsche beveiligingslekken te zitten waardoor het mogelijk was om klantgegevens te achterhalen. Bij de Kia was het ook mogelijk om de 360-graden camera te benaderen en zo mee te kijken. Dat meldt beveiligingsonderzoeker Sam Curry.

Curry wist in 2020 samen met een aantal andere onderzoekers kwetsbaarheden in de infrastructuur van Apple te vinden waardoor ze onder andere toegang tot Apples broncode, iCloud-accounts van gebruikers, interne applicaties, sessies van medewerkers en privédata van gebruikers wisten te krijgen. Voor hun nieuwste onderzoek besloten de onderzoekers naar de systemen van een groot aantal autofabrikanten te kijken, wat allerlei kwetsbaarheden en datalekken opleverde.

Het gaat onder andere om Kia, dat bij verschillende modellen Kia Connect biedt, waarmee het bijvoorbeeld mogelijk is om de auto op afstand via een app te openen en starten. Hiervoor moet een voertuigidentificatienummer (VIN of chassisnummer) worden gekoppeld aan een account. Dealers kunnen dit via een speciaal dealerportaal voor hun klanten doen, waarbij een voertuig op basis van het VIN-nummer aan een klantaccount wordt gekoppeld. Curry ontdekte een manier om toegang tot het dealerportaal te krijgen en vervolgens een VIN-nummer aan zijn eigen account toe te voegen, om zo vervolgens de betreffende KIA op afstand te openen en starten. Ook bleek het mogelijk om toegang tot de camera's van de auto te krijgen.

Verder ontdekten de onderzoekers een kwetsbaarheid waardoor het mogelijk was om accounts van Ferrari-klanten over te nemen, alsmede een IDOR-lek waardoor toegang tot alle gegevens van Ferrari-klanten kon worden verkregen. Bij Jaguar en Landrover was er ook sprake van een IDOR-kwetsbaarheid, waardoor wachtwoordhash, naam, telefoonnummer, adresgegevens en voertuiginformatie waren te achterhalen. Tevens had ook Toyota met IDOR te maken waardoor klantgegevens konden lekken.

IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Curry waarschuwde de betreffende autofabrikanten, die de problemen vervolgens verhielpen.Een overzicht van alle automerken is in het onderzoek te vinden.