1. Tóm tắt ngắn gọn
Một kỹ sư an ninh (gọi là LoopSec) vừa phát hiện hàng loạt lỗ hổng trong app “My Volkswagen” của Volkswagen/Škoda, cho phép:
- Bỏ qua mã OTP 4 chữ số (brute‑force không giới hạn)
- Tiết lộ dữ liệu nội bộ (token, mật khẩu, thông tin máy chủ)
- Lọc toàn bộ thông tin cá nhân của chủ xe qua VIN (họ tên, số điện thoại, email, địa chỉ, lịch sử bảo dưỡng…)
- Truy cập dịch vụ telematics: vị trí thời gian thực, áp suất lốp, mức nhiên liệu, dữ liệu kỹ thuật.
2. Quá trình phát hiện
- Sau khi mua xe cũ vào năm 2024, tác giả cố đăng ký app nhưng mã OTP lại gửi đến số của chủ xe trước đó :contentReference[oaicite:0]{index=0}.
- Dù nhập sai khoảng 10–15 lần, app vẫn không khóa, kích thích khả năng brute‑force :contentReference[oaicite:1]{index=1}.
- Sử dụng Burp Suite và Python, LoopSec tự động thử 10.000 mã OTP, thành công và truy cập vào hệ thống :contentReference[oaicite:2]{index=2}.
3. Chi tiết các lỗ hổng
a) Bỏ qua OTP – Brute‑force không giới hạn
Không có giới hạn thử mã khiến hacker dễ dàng dùng script để đoán ra mã 4 chữ số :contentReference[oaicite:3]{index=3}.
b) Lộ thông tin đăng nhập nội bộ
Một endpoint trả về plaintext các credentials nội bộ: token, mật khẩu, tên người dùng, và cả thông tin hệ thống sử dụng (Salesforce, payment API…) :contentReference[oaicite:4]{index=4}.
c) Lộ dữ liệu chủ xe qua VIN
Dùng VIN (hiện hữu ở kính chắn gió), hacker có thể truy cập đầy đủ dữ liệu:
- Tên, số điện thoại, email, địa chỉ, VIN, số khung, số máy, ngày mua, chi tiết gói bảo dưỡng, số liệu thanh toán :contentReference[oaicite:5]{index=5}.
d) Lịch sử bảo trì & kết quả khảo sát
API khác trả về toàn bộ lịch sử bảo trì, khiếu nại, kết quả khảo sát khách hàng tại các gara :contentReference[oaicite:6]{index=6}.
e) Telematics & dữ liệu kỹ thuật
Bao gồm vị trí theo thời gian thực, mức nhiên liệu, áp suất lốp, các điều khiển geo-fence. Thậm chí quay ra kiểm tra bằng cấp, số GPLX của chủ xe :contentReference[oaicite:7]{index=7}.
4. Mức độ nguy hiểm
- chỉ cần biết VIN (dễ nhìn thấy trên xe), kẻ gian có thể:
- Theo dõi vị trí xe thời gian thực
- Tấn công lừa đảo dựa trên thông tin cá nhân (scam, stalking…)
- Bán thông tin trên deep web hoặc tận dụng để truy cập các hệ thống khác :contentReference[oaicite:8]{index=8}.
5. Phản hồi từ Volkswagen
LoopSec báo lỗ hổng vào ngày 23 Nov 2024, VW có phản hồi và bản sửa lỗi được triển khai vào ngày 6 May 2025 :contentReference[oaicite:9]{index=9}.
6. Bảng so sánh lỗ hổng
| Lỗ hổng | Mô tả | Rủi ro |
|---|---|---|
| OTP brute‑force | Không giới hạn số lần thử OTP | Kẻ tấn công dễ dàng truy cập vào app |
| Lộ credentials nội bộ | API trả về token, mật khẩu plaintext | Có thể truy cập hoặc tấn công hệ thống nội bộ |
| Dữ liệu cá nhân qua VIN | Xem tên, email, địa chỉ, điện thoại, GPLX | Tiếp tay scam, stalk, bán dữ liệu |
| Lịch sử bảo dưỡng | Toàn bộ chi tiết, khảo sát, khiếu nại | Rò rỉ thông tin dịch vụ, thời điểm cá nhân |
| Telematics & kỹ thuật | Vị trí, nhiên liệu, áp suất lốp… | Đe doạ riêng tư, an toàn người dùng |
7. Kết luận – Bài học quan trọng
- Các app ô tô kém bảo vệ backend API có thể tạo ra thảm họa về quyền riêng tư và an ninh.
- Thiết kế logic đăng nhập (OTP, giới hạn thử mã) cần nghiêm ngặt.
- Phải bảo vệ endpoint: không lộ dữ liệu nội bộ hoặc cá nhân.
- Đây không phải lần đầu VW gặp sự cố – năm 2024 Skoda Superb III bị lộ 1.4 triệu hồ sơ và khả năng ghi âm khoang xe :contentReference[oaicite:10]{index=10}.
- Người dùng nên: cập nhật app, đăng xuất các thiết bị cũ, liên hệ đại lý nếu có nghi vấn.
Source link: Hacking My Car, and probably yours— Security Flaws in Volkswagen’s App
