Saugumo tyrėjai neseniai nustatė, kad milijonai po 2013 m. pagamintų transporto priemonių gali būti perimtos naudojant jų valstybinius numerius. Tai šokiruojantis atradimas, nes „raktas“ iš tikrųjų yra pritvirtintas prie galinio bamperio.
Pažeidžiamumą birželio mėn. aptiko tyrėjų grupė, kurią sudarė Samas Curry, Ianas Carrollas, Neiko Rivera ir Justinas Rhinehartas. Dėl šios spragos piktavaliai galėjo perimti transporto priemonių kontrolę maždaug per 30 sekundžių, be to, pažeidžiamumas taip pat atskleidė klientų informaciją, įskaitant jų vardą, pavardę, telefono numerį, el. pašto adresą ir namų adresą.
Nors ataka ir jos paaiškinimas yra gana techninio pobūdžio, Curry savo interneto svetainėje paaiškino, kad jiems pavyko užsiregistruoti ir patvirtinti savo kaip prekiautojo tapatybę, o tai suteikė prieigą prie „Kia“ prekiautojų portalo. Iš ten jie sužinojo, kaip gauti prieigą prie klientų informacijos ir tapti tikslinių transporto priemonių „pagrindiniais paskyros turėtojais“. Iš dalies tai buvo padaryta pakeitus su transporto priemone susietą el. pašto adresą į užpuolikų kontroliuojamą paskyrą. „Malwarebytes“ taip pat pažymėjo, kad jiems reikėjo VIN kodo, todėl jie pasinaudojo „trečiosios šalies API, kad konvertuotų valstybinio numerio ženklą į VIN kodą“.
Tokia yra trumpai aprašyta versija, tačiau esmė ta, kad piktavaliai gali sukurti įrankį, kuriuo būtų galima nuotoliniu būdu užrakinti ir atrakinti transporto priemones, jas paleisti ir sustabdyti, taip pat nustatyti jų buvimo vietą. Tai beveik viskas, ko galima prašyti.
Paveiktų transporto priemonių sąrašas ilgas ir, atrodo, apima beveik visas „Kia“. Tarp jų yra „Seltos“, „Soul“, „Sorento“, „Sportage“, „Stinger“ ir „Telluride“. Atakos metu taip pat buvo pažeidžiami „Forte“, „Niro“, K5, EV6 ir EV9.
Laimei, pažeidžiamumą aptiko etiški įsilaužėliai ir birželio pradžioje kreipėsi į „Kia“. „Kia“ sureagavo ir pradėjo tyrimą, o galiausiai rugpjūtį pažeidžiamumą pašalino. Atlikusi bandymus, kad įsitikintų, jog problema iš tiesų ištaisyta, komanda nusprendė viešai paskelbti savo išvadas. Jie pridūrė, kad jų įrankis niekada nebuvo išleistas, o „Kia“ nustatė, kad pažeidžiamumu niekada nebuvo piktavališkai pasinaudota.