Un investigador de seguridad dijo que Flaws en el portal de concesionario en andana de un fabricante de automóviles expuso la información privada y los datos de los vehículos de sus clientes, y podría favor permitido a los piratas informáticos irrumpir en cualquiera de los vehículos de sus clientes.
Eaton Zveare, que trabaja como investigador de seguridad en la empresa de entrega de software Harness, le dijo a TechCrunch el defecto que descubrió permitió la creación de una cuenta de agencia que otorgó el “acercamiento sin restricciones” al portal web centralizado del fabricante de automóviles no identificado.
Con este acercamiento, un hacker sagaz podría favor pasado los datos personales y financieros de los clientes del fabricante de automóviles, rastrear vehículos e inscribir a los clientes en características que permiten a los propietarios, o los piratas informáticos, controlar algunas de las funciones de su automóvil desde cualquier área.
Zveare dijo que no planea nombrar al proveedor, pero dijo que era un fabricante de automóviles ampliamente conocido con varias submarcadas populares.
En una entrevista con TechCrunch antiguamente de su charla en la Conferencia de Seguridad Def Con en Las Vegas el domingo, Zveare dijo que los errores pusieron en foco la seguridad de estos sistemas de concesionario, que otorgan a sus empleados y asociados un amplio acercamiento a la información del cliente y los vehículos.
Zveare, que ha antagónico errores en Sistemas de clientes de fabricantes de automóviles y sistemas de papeleo de vehículos Antiguamente, encontró el defecto a principios de este año como parte de un plan de fin de semana, le dijo a TechCrunch.
Dijo que si aceptablemente los defectos de seguridad en el sistema de inicio de sesión del portal eran un desafío para encontrar, una vez que lo encontró, los errores lo permitieron evitar el mecanismo de inicio de sesión por completo al permitirle crear una nueva cuenta de “administrador doméstico”.
Las fallas fueron problemáticas porque el código de errores se cargó en el navegador del beneficiario al inaugurar la página de inicio de sesión del portal, permitiendo que el beneficiario, en este caso, Zveare, modifique el código para evitar las verificaciones de seguridad de inicio de sesión. Zveare le dijo a TechCrunch que el fabricante de automóviles no encontró evidencia de explotación pasada, lo que sugiere que fue el primero en encontrarlo e informarlo al fabricante de automóviles.
Cuando se registró, la cuenta otorgó acercamiento a más de 1,000 de los concesionarios de fabricantes de automóviles en todo Estados Unidos, dijo a TechCrunch.
“Nadie sabe que solo está mirando en silencio todos los datos de estos distribuidores, todas sus finanzas, todas sus cosas privadas, todos sus clientes potenciales”, dijo Zveare, al describir el acercamiento.
Zveare dijo que una de las cosas que encontró en el interior del portal del concesionario era una útil doméstico de búsqueda de consumo que permitió a los usuarios del portal iniciado a averiguar los datos del transporte y el conductor de ese fabricante de automóviles.
En un ejemplo del mundo efectivo, Zveare tomó el número de identificación único de un transporte del parabrisas de un automóvil en un estacionamiento divulgado y usó el número para identificar al propietario del automóvil. Zveare dijo que la útil podría estilarse para averiguar a alguno que use solo el nombre y patronímico de un cliente.
Con acercamiento al portal, Zveare dijo que asimismo era posible emparejar cualquier transporte con una cuenta móvil, lo que permite a los clientes controlar de forma remota algunas de las funciones de su automóvil desde una aplicación, como desbloquear sus automóviles.
Zveare dijo que probó esto en un ejemplo del mundo efectivo usando la cuenta de un amigo y con su consentimiento. Al transferir la propiedad a una cuenta controlada por Zveare, dijo que el portal solo requiere una certificación, efectivamente una promesa rosada, de que el beneficiario que realiza la transferencia de la cuenta es oficial.
“Para mis propósitos, acabo de tener un amigo que me consintió tomar su coche, y corrí con eso”, dijo Zveare a TechCrunch. “Pero (el portal) básicamente podría hacerle eso a cualquiera con solo conocer su nombre, lo que me asusta un poco, o podría averiguar un automóvil en los estacionamientos”.
Zveare dijo que no probó si podía conducir, pero dijo que los ladrones podrían atropellar de la exploit para irrumpir y robar nociones de los vehículos, por ejemplo.
Otro problema esencia con el acercamiento a este portal de fabricante de automóviles fue que era posible penetrar a los sistemas de otros distribuidores vinculados al mismo portal a través de un solo inicio de sesión, una característica que permite a los usuarios iniciar sesión en múltiples sistemas o aplicaciones con solo un conjunto de credenciales de inicio de sesión. Zveare dijo que los sistemas de fabricantes de automóviles para concesionarios están interconectados, por lo que es practicable saltar de un sistema a otro.
Con esto, dijo, el portal asimismo tenía una característica que permitía a los administradores, como la cuenta de beneficiario que creó, “hacerse sobrevenir por otros usuarios, permitiendo efectivamente el acercamiento a otros sistemas de distribuidores como si fueran ese beneficiario sin carencia de inicios de sesión. Zveare dijo que esto era similar a una característica encontrada en un portal de concesionario de Toyota descubierto en 2023.
“Son solo pesadillas de seguridad esperando que suceda”, dijo Zveare, hablando de la función de impersonación del beneficiario.
Una vez en el portal, Zveare encontró datos de clientes identificables personalmente, información financiera y sistemas telemáticos que permitieron el seguimiento de la ubicación en tiempo efectivo de los autos de arriendo o cortesía, así como los automóviles que se envían por todo el país, y la opción de cancelarlos, sin bloqueo, Zveare no lo intentó.
Zveare dijo que los errores tardaron aproximadamente una semana en solucionar en febrero de 2025 poco luego de su divulgación al fabricante de automóviles.
“La conclusión es que solo dos vulnerabilidades de API simples abrieron las puertas, y siempre está relacionada con la autenticación”, dijo Zveare. “Si vas a equivocarse, entonces todo se cae”.
(Tagstotranslate) Privacidad
Interpretar más Tech News in Spanish
