3648 
Специалисты обнаружили на web-странице автопроизводителя BMW, а также на интернет-портале Connected Drive, несколько уязвимостей.
Последний ресурс используется при установке различных приложений, включая email-клиента и программу для управления профилем водителя.
При авторизации на сайте пользователь вводит VIN-номер своего авто, но при подмене идентификационного номера, авторизированный пользователь получает контроль над активной сессией своей «жертвы».
Также специалисты обнаружили межсайтовый скриптинг – эта уязвимость скрывается в системе восстановления пароля. При помощи данной системы хакеры без проблем получают доступ к секретному коду другого пользователя.
Отметим, что об уязвимости специалисты сообщили представителям BMW еще в феврале 2016 года, однако реакция от автопроизводителя последовала лишь в апреле. При этом информации о том, была ли устранена уязвимость, пока не поступала.