Les vulnérabilités identifiées par les experts en cybersécurité Neiko Rivera, Sam Curry, Justin Rhinehart et Ian Carroll étaient d’une simplicité déconcertante à exploiter. En utilisant uniquement le numéro de plaque d’immatriculation, un attaquant pourrait, en moins de 30 secondes, accéder complètement au véhicule ciblé. Plus inquiétant encore, cette manipulation fonctionnait même sur les voitures sans abonnement actif Kia Connect (service qui permet de connecter une Kia à un smartphone pour bénéficier de fonctionnalités supplémentaires).
Le processus d’intrusion reposait sur l’exploitation de l’infrastructure des concessionnaires Kia, notamment du site « kiaconnect.kdealer(.)com ». Avec quelques requêtes HTTP bien ciblées, il était possible de générer des jetons d’accès, puis d’obtenir les informations personnelles du propriétaire : nom, numéro de téléphone, adresse email et même adresse physique. L’attaquant pourrait alors s’ajouter comme utilisateur » invisible » du véhicule, à l’insu du propriétaire légitime.
