Il proprietario dell'auto ha scoperto una vulnerabilità di sicurezza nell'app Volkswagen
L'esperto di sicurezza informatica Vishal Bhaskar ha scoperto una vulnerabilità critica nell'app My Volkswagen, che avrebbe permesso agli hacker di accedere ai dati personali dei proprietari delle auto conoscendo solo il numero di identificazione del veicolo (VIN). La vulnerabilità riguardava solo la versione indiana dell'app e attualmente la Volkswagen l'ha già risolta.
Cosa si sa
Bhaskar si è imbattuto nel problema casualmente, come un normale proprietario di auto. Ha acquistato un'auto usata e ha cercato di collegarsi ad essa tramite l'app. Tuttavia, il codice di verifica (OTP) necessario per la conferma è stato inviato all'indirizzo email del precedente proprietario. Non riuscendo a contattarlo rapidamente, Bhaskar ha iniziato ad analizzare le richieste API dell'app e ha scoperto che non era prevista alcuna limitazione in caso di inserimento errato della password.
Il ricercatore ha scritto uno script che provava tutte le possibili combinazioni di codici a quattro cifre. In pochi secondi, la password è stata trovata, e ha ottenuto accesso ai dati dell'auto. Per questo, Bhaskar ha avuto bisogno solo del VIN, che può essere facilmente visto attraverso il parabrezza.
Non si è fermato qui e ha continuato la sua ricerca. Secondo lui, uno degli endpoint API restituiva login, password e token a una serie di servizi Volkswagen in chiaro. Tramite un altro, ha ottenuto accesso ai dati di assistenza, inclusi contratti stipulati, informazioni di pagamento e dati personali dei proprietari - nomi, numeri di telefono, indirizzi e email.
Particolarmente preoccupante è stato che attraverso alcuni endpoint era possibile ottenere dati telematici delle auto, inclusa la loro attuale geolocalizzazione. In alcuni casi, nel database erano persino conservate informazioni sui documenti di guida e sui contatti di emergenza. Come ha sottolineato Bhaskar, l'entità delle vulnerabilità era "estremamente seria".
Il ricercatore ha contattato la Volkswagen con un rapporto sulle vulnerabilità trovate nel novembre 2024. Secondo lui, inizialmente era difficile trovare i rappresentanti giusti, ma quattro giorni dopo la prima email, l'azienda ha inviato una conferma di ricezione. Nel maggio 2025 ha ricevuto una conferma ufficiale che tutte le vulnerabilità scoperte erano state risolte.
Fonte: Loopsec/Medium
