Een team van beveiligingsonderzoekers ontdekte dit probleem in juni. Sam Curry, Ian Carroll, Neiko Rivera en Justin Rhinehart ontdekten dat ze voertuigen van Kia in ongeveer 30 seconden konden overnemen.
De hack werkte op veel populaire Kia-modellen. De modellen Seltos, Soul, Sorento, Sportage, Stinger, Telluride, Forte, Niro, K5, EV6 en EV9 werden allemaal gehackt.
Curry legde op zijn website uit dat ze zich hadden geregistreerd en geautoriseerd als dealers, waardoor ze toegang kregen tot het Kia-dealerportaal. Ze leerden hoe ze toegang konden krijgen tot klantgegevens en hoe ze de "primaire accounthouder" van de beoogde voertuigen konden worden. Ze veranderden het e-mailadres dat aan het voertuig was gekoppeld naar een account dat door de aanvallers werd beheerd. Ze gebruikten ook een API van een derde partij om de kentekenplaat te "converteren" naar een VIN.
Met de controle over het voertuig konden de hackers verschillende dingen doen. Ze konden het voertuig op afstand vergrendelen en ontgrendelen. Ze konden de motor starten en stoppen. Ze konden zelfs achterhalen waar de auto zich bevond.
Het team bracht Kia begin juni op de hoogte van het probleem. Kia repareerde het in augustus. De onderzoekers controleerden of de fix werkte voordat ze hem doorgaven.
Kia zei dat niemand deze hack gebruikte om iets kwaadaardigs te doen. Het onderzoeksteam heeft zijn hacktool nooit openbaar gemaakt.
Bron: Samcurry
