Vulnerabilidad en el sistema de inicio de sesión en línea de un concesionario de automóviles: un investigador encuentra fallos de seguridad

Redazione RHC : 12 agosto 2025 21:43

Se descubrió una vulnerabilidad en el sistema de inicio de sesión en línea para concesionarios de uno de los fabricantes de automóviles más grandes del mundo: bastaba con investigar un poco el código de la página. El investigador de seguridad Eaton Zwer, de Harness, informó que logró explotar la vulnerabilidad para crear una cuenta administrativa con acceso completo al portal interno del fabricante. La brecha les permitió obtener datos confidenciales de clientes, información del vehículo e incluso controlar remotamente las funciones del coche, incluyendo el desbloqueo.

Zwer, quien previamente había identificado errores en los sistemas de fabricantes de automóviles, descubrió el problema accidentalmente durante un proyecto personal el fin de semana. Descubrió que, al cargar la página de inicio de sesión, el navegador del cliente cargaba un código incorrecto que podía modificarse para eludir todos los mecanismos de autenticación. Esto permitió crear una cuenta de «administrador nacional» que daba acceso a más de 1000 concesionarios en Estados Unidos.

A través de esta interfaz, era posible consultar los datos personales de los clientes, incluyendo información de contacto y algunos datos financieros, así como gestionar los servicios del vehículo. Entre otras cosas, esto incluía el seguimiento en tiempo real de los vehículos de la empresa y los transportados, el uso de sistemas telemáticos e incluso la cancelación de envíos de vehículos.

Uno de los elementos más inquietantes del sistema era la herramienta de búsqueda de clientes, que solo requería el nombre y los apellidos para acceder a la información sobre un coche específico y su propietario. Zver utilizó el VIN de un coche aparcado en la calle como ejemplo y confirmó que esto era suficiente para asociar el coche a una persona específica. Según él, era posible iniciar el proceso de transferencia del coche a otro usuario simplemente confirmando la intención, sin ninguna verificación. Probó este escenario con el consentimiento de un amigo y logró controlar eficazmente el coche de otra persona mediante una aplicación móvil.

Igualmente peligroso era poder acceder a los sistemas conectados de otros concesionarios con un único inicio de sesión. Gracias al mecanismo SSO (inicio de sesión único), la cuenta de administrador creada no solo podía moverse entre diferentes partes de la infraestructura, sino también imitar el inicio de sesión de otro usuario. Esto permitía acceder a los derechos, datos y sistemas del empleado objetivo sin su conocimiento; un mecanismo similar se había utilizado anteriormente en el portal del concesionario.

El investigador calificó la arquitectura como una «bomba de relojería», señalando que los usuarios podían ver y utilizar información crítica, como ofertas, clientes potenciales y análisis internos, sin ser detectados. Según se informa, la compañía solucionó la vulnerabilidad una semana después de revelar el problema de forma privada en febrero de 2025. Sin embargo, una investigación demostró que el exploit nunca se había utilizado antes: Zver fue el primero en descubrir e informar sobre las fallas en el sistema.

Según Zver, la raíz del problema fue, una vez más, algo trivial: fallas en el sistema de autenticación de la API. Tan solo dos vulnerabilidades expusieron todo el mundo interno de la red de distribuidores. Zver cree que esto es un nuevo recordatorio: en cuanto el control de acceso colapsa, todo colapsa.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli