Un experto en seguridad informática, además de propietario de un vehículo de Volkswagen, ha descubierto una vulnerabilidad en la aplicación móvil del fabricante de coches, My Volkswagen.
Esta herramienta permitiría a atacantes acceder a los datos personales de propietarios de vehículos únicamente con el número de identificación del coche (VIN).
Vishal Bhaskar se topó con el problema de seguridad tras adquirir un vehículo usado e intentar acceder a él mediante la citada app.
El experto en seguridad se encontró con que la contraseña de un único uso (OTP) había sido enviada al anterior propietario. Al no poder contactarlo comenzó a analizar las solicitudes de la API de la aplicación, descubriendo que no existía ningún bloqueo por introducción incorrecta de la contraseña.
Fue entonces cuando Bhaskar creó un script que buscó todos los códigos de cuatro dígitos posibles. Solo le bastaron unos segundos para dar con la clave y pudo acceder a todos los datos del coche. Solo necesitó el VIN, un dato visible a través del parabrisas.
El investigador quiso ir más allá y continuar su investigación. Uno de los endpoints de la API devolvía datos de inicios de sesión, contraseñas y tokens a varios servicios de Volkswagen sin cifrar. A través de otro, accedió a datos de servicio, incluyendo contratos firmados, información de pago y datos personales de los propietarios: nombres, números de teléfono, direcciones y emails.
Más preocupante resultó que mediante algunos puntos terminales se podían recuperar datos telemáticos de los vehículos, incluyendo su geolocalización actual.
Bhaskar ha definido el alcance de las vulnerabilidades como "extremadamente grave".
Una brecha de datos local y ya solventada
No obstante, la vulnerabilidad únicamente se daría en la versión india de My Volkswagen y la casa alemana parece haberla corregido ya.
Aunque este encontró estos problemas en noviembre no fue hasta mayo cuando recibió la confirmación oficial del fabricante de que todas las vulnerabilidades detectadas se habían corregido.