Los investigadores de seguridad dijeron que un defecto en el portal de concesionarios en línea del fabricante de automóviles podría haberlo hecho público con información personal y datos personales del cliente, permitiendo a los piratas informáticos entrar de forma remota en uno de los vehículos del cliente.
Eaton Zveare, un investigador de seguridad de la compañía de distribución de software Harness, le dijo a TechCrunch que las fallas que descubrió le permitía crear una cuenta de administrador que otorgaba «acceso gratuito» al portal web centralizado de fabricante de automóviles, que no tenía nombre.
Este acceso permitió a los piratas informáticos maliciosos ver datos personales y financieros de los clientes del fabricante de automóviles, rastrear vehículos y registrar a sus clientes con características que permitan al propietario o hacker controlar algunas de las características del automóvil desde cualquier lugar.
Zveare dijo que no nombraría al proveedor, pero que era un fabricante de automóviles ampliamente conocido con varias sub-marcas populares.
En una entrevista con TechCrunch antes de su discurso en la Conferencia de Seguridad Def Con en Las Vegas el domingo, Zveare dijo que el error destacará la seguridad de estos sistemas de distribuidores y les dará un amplio acceso a la información de empleados y clientes.
Zveare, quien descubrió un error en los sistemas de gestión de clientes y flotas del fabricante de automóviles, descubrió los defectos como parte de un proyecto de fin de semana a principios de este año, dijo a TechCrunch.
Dijo que la falla de seguridad en el sistema de inicio de sesión del portal es difícil de encontrar, ya que puede desviar por completo el mecanismo de inicio de sesión al permitirle crear una nueva cuenta de «administrador nacional» después de encontrarlo.
La falla era un problema ya que el código de errores cargado en el navegador del usuario al abrir la página de inicio de sesión del portal permite al usuario (en este caso Zveare) cambiar el código y evitar la verificación de seguridad de inicio de sesión. Zveare le dijo a TechCrunch que el fabricante de automóviles no había encontrado evidencia de explotación pasada, lo que sugiere que lo encontró por primera vez y lo informó al fabricante de automóviles.
Una vez iniciado sesión, la cuenta otorgó acceso a más de 1,000 distribuidores de fabricantes de automóviles en todo Estados Unidos, dijo a TechCrunch.
«Nadie sabe que estamos mirando en silencio todos los datos, todas las finanzas, todas las cosas privadas, todos los clientes potenciales de estos distribuidores», explicó Zveare sobre Access.
Zveare dijo que una de las cosas que encontró dentro del portal del concesionario es una herramienta nacional de búsqueda de consumo que permite a los usuarios del portal de inicio de sesión registrar los datos del vehículo y el conductor del fabricante del automóvil.
En un ejemplo real, Zveare obtuvo el número de identificación único del vehículo del parabrisas de un automóvil en un estacionamiento público, y usó ese número para identificar al propietario del vehículo. Zveare dijo que la herramienta se puede usar para buscar a alguien que use solo el primer y apellido de un cliente.
Zveare también dijo que el acceso al portal le permite emparejar su vehículo con su cuenta móvil. Esto permite a los clientes controlar de forma remota algunas de las características de su automóvil desde la aplicación, como desbloquear el automóvil.
Zveare dijo que usó la cuenta de un amigo para estar de acuerdo e intentó esto con un ejemplo del mundo real. Al transferir la propiedad a una cuenta administrada por Zveare, dijo que el portal solo requiere prueba (efectivamente la promesa de Pinky) de que el usuario que realiza la transferencia de la cuenta es legal.
«Para mis propósitos, tuve un amigo que aceptó hacerse cargo de su automóvil, y conduje con él», dijo Zveare a TechCrunch. «Pero (el portal) puede hacerle eso a cualquiera, básicamente solo conocer su nombre.
Zveare dijo que no probó si podía escapar, pero dijo, por ejemplo, que los ladrones podrían ser mal utilizados para entrar y robar artículos del vehículo.
Otro problema importante con el acceso al portal de este fabricante de automóviles fue la capacidad de acceder a otros sistemas de distribuidores vinculados al mismo portal a través de un solo inicio de sesión. Esto permite a los usuarios iniciar sesión en múltiples sistemas o aplicaciones con un conjunto de credenciales de inicio de sesión. Zveare dijo que todos los sistemas de fabricantes de automóviles para concesionarios están interconectados, lo que facilita saltar de un sistema a otro.
Esto, dijo, tiene la capacidad de permitir que los administradores, como las cuentas de los usuarios, «falsifiquen» a otros usuarios, permitan efectivamente el acceso a otros sistemas de distribuidores como si fueran esos usuarios sin requerir inicio de sesión. Zveare dijo que esto es similar a la característica que se encuentra en el portal del concesionario Toyota, que se descubrió en 2023.
«Son pesadillas de seguridad esperando que suceda», dijo Zveare sobre la función de usuario en miembro.
Una vez dentro del portal, Zveare encontró la opción de cancelar, permitiendo que los datos de los clientes identificables personalmente, cierta información financiera y el seguimiento de la ubicación en tiempo real de los automóviles de alquiler y corteses, así como el seguimiento de vehículos de ubicación en tiempo real enviados en todo el país, pero Zveare no lo intentó.
Zveare dijo que el error tardó aproximadamente una semana en solucionarlo en febrero de 2025, poco después de su divulgación al fabricante del automóvil.
«La comida para llevar significa que dos simples vulnerabilidades de API abren la puerta y siempre son relevantes para la autenticación», dijo Zveare. «Si intentas equivocarlos, todo caerá».
Source link
