Bisa Buka Mobil dari Mana Saja, Data dan Kendali Kendaraan Bisa Diambil Hacker! Begini Penjelasannya

Genvoice.id | 11 Aug 2025

JAKARTA, GENVOICE.ID - Seorang peneliti keamanan siber mengungkap celah mengerikan dalam sistem portal online milik salah satu produsen mobil besar dunia, yang dapat membuat data pribadi pelanggan, bahkan kendali atas kendaraan mereka, jatuh ke tangan peretas.

Eaton Zveare, peneliti keamanan di perusahaan perangkat lunak Harness, mengungkap kepada TechCrunch bahwa celah tersebut memungkinkan seseorang membuat akun admin dengan akses penuh ke portal web pusat milik pabrikan mobil ternama yang tidak disebutkan namanya.

Dengan akses ini, hacker bisa melihat data pribadi dan finansial pelanggan, melacak kendaraan secara real-time, hingga mengambil alih kendali mobil dari jarak jauh melalui sistem koneksi kendaraan ke aplikasi seluler.

"Tidak ada yang tahu Anda sedang diam-diam mengakses data semua dealer, laporan keuangan mereka, informasi pribadi, hingga data calon pelanggan," kata Zveare.

Zveare mengatakan dia menemukan bug ini awal tahun 2025 saat mengerjakan proyek akhir pekan. Meskipun proses menemukannya cukup rumit, begitu ia menemukan celahnya, bug tersebut memungkinkannya melewati sistem login dan langsung membuat akun 'admin nasional'.

Celah ini ada karena kode yang dijalankan di browser pengguna saat membuka halaman login bisa dimodifikasi, memungkinkan Zveare menyusup tanpa kredensial sah. Menurutnya, pabrikan mobil tersebut tidak menemukan bukti eksploitasi sebelumnya, menjadikan Zveare pihak pertama yang melaporkannya.

Setelah berhasil masuk, Zveare bisa mengakses lebih dari 1.000 dealer di seluruh Amerika Serikat, lengkap dengan data pelanggan, transaksi finansial, serta alat untuk melacak dan mengontrol kendaraan.

Salah satu fitur yang ditemukan adalah alat pencarian pelanggan secara nasional, yang memungkinkan seseorang mengetahui identitas pemilik kendaraan hanya dari nomor identifikasi kendaraan (VIN) atau nama lengkap pelanggan.

Dalam demonstrasi nyata, Zveare memotret nomor VIN dari mobil di tempat parkir umum, lalu berhasil mendapatkan nama dan informasi pemilik mobil tersebut.

Yang lebih mengejutkan lagi, Zveare bisa mengambil alih kendaraan dari jarak jauh hanya dengan membuat akun seluler palsu dan menyatakan, tanpa verifikasi, bahwa dia pemilik sah kendaraan. Ia mencoba ini secara legal dengan izin temannya, tapi menegaskan bahwa proses verifikasi dari sistem ini sangat lemah dan berbahaya.

"Saya hanya perlu nama seseorang untuk mengambil alih mobil mereka lewat sistem ini. Cukup mengerikan," katanya.

Celah lainnya adalah fitur single sign-on (SSO) yang memungkinkan pengguna dengan akun admin melompat dari satu sistem dealer ke sistem lain tanpa login ulang. Bahkan, ia menemukan fitur untuk "meniru" pengguna lain, artinya seorang admin bisa bertindak sebagai siapa pun di dalam sistem, tanpa perlu akses mereka.

"Fitur impersonasi ini adalah mimpi buruk keamanan yang menunggu untuk meledak," tegas Zveare.

Zveare juga melihat data pelanggan yang sangat sensitif, termasuk informasi keuangan, lokasi kendaraan yang sedang dikirim atau dipinjamkan, hingga opsi untuk membatalkan pengiriman kendaraan. Meski tidak menguji semua fitur ini, ia menegaskan potensi eksploitasi oleh pihak jahat sangat besar.

Beruntung, cabang keamanan siber dari pabrikan mobil tersebut segera menindaklanjuti laporan Zveare dan memperbaiki semua bug dalam waktu sekitar seminggu pada Februari 2025.

Zveare mengingatkan bahwa celah ini muncul hanya karena dua kesalahan sederhana di API (Application Programming Interface), terutama pada sistem otentikasi.

"Kalau bagian otentikasi saja sudah salah, maka seluruh sistem bisa runtuh," ujarnya.