Redazione RHC : 12 agosto 2025 21:43
Se descubrió una vulnerabilidad en el sistema de inicio de sesión en línea para concesionarios de uno de los fabricantes de automóviles más grandes del mundo: bastaba con investigar un poco el código de la página. El investigador de seguridad Eaton Zwer, de Harness, informó que logró explotar la vulnerabilidad para crear una cuenta administrativa con acceso completo al portal interno del fabricante. La brecha les permitió obtener datos confidenciales de clientes, información del vehículo e incluso controlar remotamente las funciones del coche, incluyendo el desbloqueo.
Zwer, quien previamente había identificado errores en los sistemas de fabricantes de automóviles, descubrió el problema accidentalmente durante un proyecto personal el fin de semana. Descubrió que, al cargar la página de inicio de sesión, el navegador del cliente cargaba un código incorrecto que podía modificarse para eludir todos los mecanismos de autenticación. Esto permitió crear una cuenta de «administrador nacional» que daba acceso a más de 1000 concesionarios en Estados Unidos.
A través de esta interfaz, era posible consultar los datos personales de los clientes, incluyendo información de contacto y algunos datos financieros, así como gestionar los servicios del vehículo. Entre otras cosas, esto incluía el seguimiento en tiempo real de los vehículos de la empresa y los transportados, el uso de sistemas telemáticos e incluso la cancelación de envíos de vehículos.
Uno de los elementos más inquietantes del sistema era la herramienta de búsqueda de clientes, que solo requería el nombre y los apellidos para acceder a la información sobre un coche específico y su propietario. Zver utilizó el VIN de un coche aparcado en la calle como ejemplo y confirmó que esto era suficiente para asociar el coche a una persona específica. Según él, era posible iniciar el proceso de transferencia del coche a otro usuario simplemente confirmando la intención, sin ninguna verificación. Probó este escenario con el consentimiento de un amigo y logró controlar eficazmente el coche de otra persona mediante una aplicación móvil.
Igualmente peligroso era poder acceder a los sistemas conectados de otros concesionarios con un único inicio de sesión. Gracias al mecanismo SSO (inicio de sesión único), la cuenta de administrador creada no solo podía moverse entre diferentes partes de la infraestructura, sino también imitar el inicio de sesión de otro usuario. Esto permitía acceder a los derechos, datos y sistemas del empleado objetivo sin su conocimiento; un mecanismo similar se había utilizado anteriormente en el portal del concesionario.
El investigador calificó la arquitectura como una «bomba de relojería», señalando que los usuarios podían ver y utilizar información crítica, como ofertas, clientes potenciales y análisis internos, sin ser detectados. Según se informa, la compañía solucionó la vulnerabilidad una semana después de revelar el problema de forma privada en febrero de 2025. Sin embargo, una investigación demostró que el exploit nunca se había utilizado antes: Zver fue el primero en descubrir e informar sobre las fallas en el sistema.
Según Zver, la raíz del problema fue, una vez más, algo trivial: fallas en el sistema de autenticación de la API. Tan solo dos vulnerabilidades expusieron todo el mundo interno de la red de distribuidores. Zver cree que esto es un nuevo recordatorio: en cuanto el control de acceso colapsa, todo colapsa.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
