Τα αποτελέσματα ελέγχου ασφαλείας, ο οποίος αποκάλυψε σοβαρό κενό που επιτρέπει τη μη εξουσιοδοτημένη πρόσβαση σε όλα τα συνδεδεμένα οχήματα κατασκευαστή αυτοκινήτων, παρουσίασε η Kaspersky. Συγκεκριμένα, μία ευπάθεια zero-day σε μια εφαρμογή ανοιχτής πρόσβασης εξωτερικού συνεργάτη καθιστά εφικτή την απόκτηση ελέγχου επί του συστήματος τηλεματικής των οχημάτων, θέτοντας σε κίνδυνο τη σωματική ασφάλεια οδηγών και επιβατών. Για παράδειγμα, οι επιτιθέμενοι θα μπορούσαν να αλλάξουν ταχύτητες ή να σβήσουν τη μηχανή ενώ το όχημα βρίσκεται σε κίνηση.
Τα ευρήματα αναδεικνύουν πιθανές αδυναμίες κυβερνοασφάλειας στην αυτοκινητοβιομηχανία, εντείνοντας τις εκκλήσεις για μέτρα προστασίας. Ο έλεγχος ασφαλείας πραγματοποιήθηκε εξ΄ αποστάσεως και είχε στο επίκεντρο τις δημόσια προσβάσιμες υπηρεσίες του κατασκευαστή καθώς και την υποδομή του εξωτερικού συνεργάτη.
Η Kaspersky εντόπισε αρκετές εκτεθειμένες διαδικτυακές υπηρεσίες. Αρχικά, μέσω μιας ευπάθειας SQL injection τύπου zero-day στην εφαρμογή wiki, οι ερευνητές κατάφεραν να εξαγάγουν λίστα χρηστών από την πλευρά του εξωτερικού συνεργάτη μαζί με hashes κωδικών πρόσβασης, μερικοί από τους οποίους αποκρυπτογραφήθηκαν λόγω αδύναμης πολιτικής κωδικών.
Η παραβίαση έδωσε πρόσβαση στο issue tracking system του εξωτερικού συνεργάτη, το οποίο περιείχε ευαίσθητες πληροφορίες διαμόρφωσης σχετικά με την υποδομή τηλεματικής του κατασκευαστή. Ανάμεσά τους υπήρχε και αρχείο με hashed κωδικούς χρηστών ενός από τους servers τηλεματικής οχημάτων του κατασκευαστή.