Một nhóm hacker mũ trắng đã phát hiện ra lỗ hổng bảo mật trong hàng triệu xe Kia có chức năng kết nối với Internet. Khi các hacker lần đầu tiên truy cập vào lỗ hổng bảo mật vào tháng 6, họ phát hiện ra các xe bị ảnh hưởng từ Kia Sportage 2014 đến Carnival 2025, có thể dễ dàng truy cập thông qua biển số xe, đồng thời cho phép thực hiện một số chức năng của xe từ xa.
Việc lỗ hổng này bị phát hiện gần đây là do tin tặc chờ cho đến khi Kia công bố bản sửa lỗi trước khi công khai vấn đề. Sam Curry, một hacker mũ trắng xác định được lỗ hổng bảo mật, đã trình diễn phương pháp tấn công trong một video bằng cách sử dụng công cụ chứng minh khái niệm. Ông cũng chia sẻ mốc thời gian nhóm của mình phát hiện ra vấn đề, tương tác của họ với Kia và việc triển khai bản sửa lỗi sau đó trên trang web của nhóm ở địa chỉ samcurry.net.
Curry giải thích các chức năng từ xa có thể được truy cập trên các xe Kia bị hack thông qua trang web Kia Owners và ứng dụng Kia Connect iOS. Các chức năng này bao gồm định vị địa lý, khóa/mở khóa, khởi động/dừng động cơ, kích hoạt còi và đèn và sử dụng camera. Tình huống này gợi nhớ đến các vụ hack trước đây liên quan đến xe Nissan và Honda. Cần đề cập rằng các mẫu xe Kia cũ hơn có các chức năng hạn chế dành cho tin tặc, nhưng định vị địa lý đáng chú ý là tính năng dễ truy cập nhất, ngay cả trong những chiếc xe bị ảnh hưởng lâu đời nhất.
Các chức năng đã đề cập ở trên có thể truy cập được chỉ trong vòng 30 giây, bất kể xe có đăng ký Kia Connect đang hoạt động hay không. Ngoài các chức năng này, Curry chỉ ra rằng thông tin cá nhân của chủ sở hữu bao gồm tên, số điện thoại, địa chỉ email và địa chỉ nhà cũng dễ bị lộ. Những kẻ xấu có khả năng khai thác lỗ hổng này để tự thêm mình vào làm người dùng thứ hai mà nạn nhân không hề hay biết. Đáng báo động là sẽ không có thông báo về bất kỳ nỗ lực truy cập trái phép hoặc hack nào.
Tiết lộ này cho thấy vô số mối quan ngại tiềm ẩn cần được các nhà sản xuất ô tô quan tâm ngay lập tức, thay vì bác bỏ. Theo trang web của Curry, các nỗ lực đánh giá lỗ hổng bảo mật của Kia chỉ được bắt đầu sau một sự cố lớn hơn xảy ra hai năm trước, liên quan đến "hơn một chục nhà sản xuất ô tô". Curry khẳng định rằng cuộc điều tra của họ đã phát hiện ra các lỗ hổng đáng kể có thể cho phép tội phạm mạng truy cập vào 15,5 triệu xe và thực hiện các chức năng từ xa như đã nêu trước đó.
Curry lưu ý rằng các hãng sản xuất ô tô bị ảnh hưởng bởi vấn đề này đã hành động vào thời điểm đó; tuy nhiên, do các lỗ hổng bảo mật vẫn tiếp tục tồn tại trong các xe Kia hai năm sau lần xác định ban đầu, người ta có thể đặt câu hỏi về sự đảm bảo rằng các lỗ hổng tương tự không tồn tại trong các xe do các nhà sản xuất khác sản xuất. Hy vọng rằng đây sẽ là lần cuối cùng xảy ra những thách thức bảo mật như vậy đối với thương hiệu Kia, đặc biệt là khi xét đến thực tế là thương hiệu này được xếp hạng là đơn vị dẫn đầu về tình trạng trộm cắp ô tô vào năm ngoái.