Lỗ hổng này được phát hiện vào tháng 6/2024 bởi một nhóm các nhà nghiên cứu bao gồm Sam Curry, Ian Carroll, Neiko Rivera và Justin Rhinehart. Lỗ hổng cho phép các tác nhân đe dọa kiểm soát các chức năng quan trọng của xe chỉ trong khoảng 30 giây, chỉ bằng cách sử dụng biển số xe.

Hơn nữa, lỗ hổng còn cho phép kẻ tấn công thu thập thông tin cá nhân của nạn nhân, chẳng hạn như tên, địa chỉ nhà, email và số điện thoại, đồng thời tạo một người dùng thứ hai trên xe mà chủ xe không hề hay biết.

Curry và các cộng sự giải thích rằng: các tin tặc có thể đăng ký và xác thực bản thân như một đại lý, điều này giúp họ có quyền truy cập vào cổng thông tin đại lý của Kia. Từ đó, những kẻ tấn công tìm hiểu cách truy cập thông tin khách hàng và trở thành “chủ tài khoản chính” của những chiếc xe mục tiêu. Một phần của quá trình này bao gồm việc thay đổi địa chỉ email liên kết với xe sang một tài khoản do các đối tượng kiểm soát.

Bên cạnh đó, kẻ tấn công đã sử dụng một API của bên thứ ba để chuyển đổi biển số xe thành số VIN, sau đó theo dõi một cách thụ động và gửi các lệnh chủ động như mở khóa, khởi động, định vị xe hoặc bấm còi. Về phía nạn nhân, không có thông báo nào cho biết xe của họ đã bị truy cập hoặc quyền truy cập của họ đã bị thay đổi.

Như đã đề cập, các vấn đề này đã được báo cáo với Kia vào tháng 6/2024. Nhà sản xuất xe tới từ Hàn Quốc đã thừa nhận những sai sót và bắt đầu thực hiện bản sửa lỗi được triển khai vào giữa tháng 8/2024.

Danh sách các xe bị ảnh hưởng chủ yếu là các phiên bản Seltos, Soul, Sorento, Sportage, Stinger và Telluride. Các mẫu Forte, Niro, K5, EV6 và EV9 cũng đều dễ bị tấn công.