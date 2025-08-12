मोबाइल नहीं अब कार हो रहीं Hack! हैकर्स ने किया सबसे बड़ा कांड, 'गांव' से बैठकर खोल रहे शहर की गाड़ियां
मोबाइल नहीं अब कार हो रहीं Hack! हैकर्स ने किया सबसे बड़ा कांड, 'गांव' से बैठकर खोल रहे शहर की गाड़ियां

रिसर्चर ने एक कार कंपनी के वेब पोर्टल में गंभीर सुरक्षा खामियां उजागर की हैं. ये कमजोरियां ग्राहकों की निजी जानकारी, वाहन का डेटा और कंपनी के पूरे डीलर नेटवर्क तक पहुंच का रास्ता खोल रही थीं. उन्होंने कार कंपनी का नाम उजागर नहीं किया, बस इतना बताया कि इसके कई पॉपुलर सब-ब्रांड्स हैं.

Written By  Mohit Chaturvedi|Last Updated: Aug 12, 2025, 07:41 AM IST
मोबाइल नहीं अब कार हो रहीं Hack! हैकर्स ने किया सबसे बड़ा कांड, 'गांव' से बैठकर खोल रहे शहर की गाड़ियां

Shocking New Car Hack: एक सिक्योरिटी रिसर्चर ने एक मशहूर कार कंपनी के वेब पोर्टल में गंभीर सुरक्षा खामियां उजागर की हैं, जिनकी मदद से हैकर्स कहीं से भी ग्राहकों की गाड़ियां दूर से अनलॉक और कंट्रोल कर सकते थे. ये कमजोरियां ग्राहकों की निजी जानकारी, वाहन का डेटा और कंपनी के पूरे डीलर नेटवर्क तक पहुंच का रास्ता खोल रही थीं. यह खोज ईटन जवीयर (Eaton Zveare) नाम के सिक्योरिटी रिसर्चर ने की, जो सॉफ्टवेयर डिलीवरी कंपनी Harness में काम करते हैं. उन्होंने इस साल की शुरुआत में, वीकेंड प्रोजेक्ट के तौर पर कार कंपनी के डीलर पोर्टल को एक्सप्लोर करते हुए ये खामियां पाईं. हालांकि, उन्होंने कार कंपनी का नाम उजागर नहीं किया, बस इतना बताया कि इसके कई पॉपुलर सब-ब्रांड्स हैं.

खामी कहां थी?
जवीयर के मुताबिक, सबसे बड़ी समस्या पोर्टल के लॉगिन सिस्टम में थी. लॉगिन पेज पर लोड हो रहे कोड में खामी का फायदा उठाकर वे सिक्योरिटी चेक्स को बायपास करने में सफल रहे. उन्होंने अपने लिए एक “नेशनल एडमिन” अकाउंट बना लिया, जिसे पोर्टल पर अनलिमिटेड एक्सेस थी.

इस एडमिन एक्सेस से वे पूरे अमेरिका के 1,000 से ज्यादा डीलर्स को कंट्रोल कर सकते थे. इसमें शामिल था-
• संवेदनशील ग्राहक और फाइनेंशियल डेटा देखना
• वाहनों को रियल-टाइम में ट्रैक करना
• कनेक्टेड फीचर्स एक्टिवेट करना, जिनसे कार को दूर से कंट्रोल किया जा सके, जैसे अनलॉक करना

चौंकाने वाला उदाहरण
जवीयर ने बताया कि सिर्फ गाड़ी के VIN (Vehicle Identification Number), जो विंडशील्ड पर खुला दिखता है, का इस्तेमाल करके पोर्टल में मालिक की पूरी पर्सनल डिटेल खोजी जा सकती थी. इतना ही नहीं, सिर्फ ग्राहक का नाम डालकर भी उनके वाहन की पहचान की जा सकती थी.

उन्होंने एक दोस्त की अनुमति लेकर कार को अपने अकाउंट से लिंक किया और दूर से अनलॉक करने में सफल रहे. पोर्टल सिर्फ एक सिंपल कन्फर्मेशन मांगता था कि ट्रांसफर वैध है, जो हैकर्स आसानी से फर्जी तरीके से कर सकते थे.

ड्राइविंग टेस्ट नहीं किया, लेकिन खतरा असली था
जवीयर ने वाहन चलाने की कोशिश नहीं की, लेकिन उन्होंने चेतावनी दी कि चोर इन खामियों का इस्तेमाल करके कार में घुस सकते हैं या सामान चुरा सकते हैं.

एक और बड़ा रिस्क: SSO लॉगिन
पोर्टल सिंगल साइन-ऑन (SSO) सिस्टम का इस्तेमाल करता था, जिससे एक बार लॉगिन करने पर अलग-अलग डीलर सिस्टम्स में बिना पासवर्ड के पहुंचा जा सकता था. जवीयर दूसरे यूजर्स का रूप धारण कर (impersonate करके) उनके पोर्टल्स तक भी पहुंच गए. उन्होंने इसे “सिक्योरिटी नाइटमेयर” कहा. ऐसी ही खामी उन्होंने 2023 में टोयोटा डीलर पोर्टल में भी पाई थी.

क्या-क्या डेटा खतरे में था?
पोर्टल के अंदर
• ग्राहकों की पहचान संबंधी जानकारी (PII)
• वित्तीय रिकॉर्ड
• टेलीमैटिक्स डेटा (रियल-टाइम वाहन लोकेशन)
• वाहन शिपमेंट का डेटा (रद्द करने का ऑप्शन भी था)

कंपनी ने क्या किया?
जवीयर की रिपोर्ट के बाद कार कंपनी ने फरवरी 2025 में एक हफ्ते के अंदर खामियां ठीक कर दीं. जवीयर ने साफ कहा- 'सिर्फ दो सिंपल API खामियों ने सिस्टम को पूरी तरह खोल दिया. अगर ऑथेंटिकेशन में गलती करेंगे, तो बाकी सब ढह जाएगा.'

सबक क्या है?
यह मामला दिखाता है कि डीलरशिप पोर्टल्स में ढीली सिक्योरिटी कितनी बड़ी समस्या है. ऐसे पोर्टल्स में न सिर्फ डेटा बल्कि गाड़ियों के रिमोट कंट्रोल तक की एक्सेस होती है. इसलिए, मजबूत ऑथेंटिकेशन और टाइट एक्सेस कंट्रोल बेहद जरूरी हैं.

FAQs

Q1. खामी किसने खोजी?
Eaton Zveare, जो Harness कंपनी में सिक्योरिटी रिसर्चर हैं.

Q2. खामी से क्या हो सकता था?
हैकर्स दूर से गाड़ियां अनलॉक कर सकते थे, डेटा चुरा सकते थे और वाहन ट्रैक कर सकते थे.

Q3. खामी कहां थी?
डीलर पोर्टल के लॉगिन सिस्टम और SSO फीचर में.

Q4. कंपनी ने कब खामी ठीक की?
फरवरी 2025 में, रिपोर्ट के एक हफ्ते के अंदर.

Q5. क्या कार का नाम सामने आया?
नहीं, रिसर्चर ने कंपनी का नाम उजागर नहीं किया.

मोहित चतुर्वेदी

मोहित चतुर्वेदी एक अनुभवी डिजिटल पत्रकार और टेक्नोलॉजी एक्सपर्ट हैं, इनके पास टेक फील्ड में 13 सालों का एक्सपीरियंस है।

New Car Hack

Trending news

