Redazione RHC : 12 agosto 2025 22:10
Se descubrió una vulnerabilidad en el sistema de inicio de sesión en línea para concesionarios de uno de los fabricantes de automóviles más grandes del mundo: bastaba con investigar un poco el código de la página. El investigador de seguridad Eaton Zwer, de Harness, informó que logró explotar la vulnerabilidad para crear una cuenta administrativa con acceso completo al portal interno del fabricante. La brecha les permitió obtener datos confidenciales de clientes, información del vehículo e incluso controlar remotamente las funciones del coche, incluyendo el desbloqueo.
Zwer, quien previamente había identificado errores en los sistemas de fabricantes de automóviles, descubrió el problema accidentalmente durante un proyecto personal el fin de semana. Descubrió que, al cargar la página de inicio de sesión, el navegador del cliente cargaba un código incorrecto que podía modificarse para eludir todos los mecanismos de autenticación. Esto permitió crear una cuenta de «administrador nacional» que daba acceso a más de 1000 concesionarios en Estados Unidos.
A través de esta interfaz, era posible consultar los datos personales de los clientes, incluyendo información de contacto y algunos datos financieros, así como gestionar los servicios del vehículo. Entre otras cosas, esto incluía el seguimiento en tiempo real de los vehículos de la empresa y los transportados, el uso de sistemas telemáticos e incluso la cancelación de envíos de vehículos.
Uno de los elementos más inquietantes del sistema era la herramienta de búsqueda de clientes, que solo requería el nombre y los apellidos para acceder a la información sobre un coche específico y su propietario. Zver utilizó el VIN de un coche aparcado en la calle como ejemplo y confirmó que esto era suficiente para asociar el coche a una persona específica. Según él, era posible iniciar el proceso de transferencia del coche a otro usuario simplemente confirmando la intención, sin ninguna verificación. Probó este escenario con el consentimiento de un amigo y logró controlar eficazmente el coche de otra persona mediante una aplicación móvil.
Igualmente peligroso era poder acceder a los sistemas conectados de otros concesionarios con un único inicio de sesión. Gracias al mecanismo SSO (inicio de sesión único), la cuenta de administrador creada no solo podía moverse entre diferentes partes de la infraestructura, sino también imitar el inicio de sesión de otro usuario. Esto permitía acceder a los derechos, datos y sistemas del empleado objetivo sin su conocimiento; un mecanismo similar se había utilizado anteriormente en el portal del concesionario.
El investigador calificó la arquitectura como una «bomba de relojería», señalando que los usuarios podían ver y utilizar información crítica, como ofertas, clientes potenciales y análisis internos, sin ser detectados. Según se informa, la compañía solucionó la vulnerabilidad una semana después de revelar el problema de forma privada en febrero de 2025. Sin embargo, una investigación demostró que el exploit nunca se había utilizado antes: Zver fue el primero en descubrir e informar sobre las fallas en el sistema.
Según Zver, la raíz del problema fue, una vez más, algo trivial: fallas en el sistema de autenticación de la API. Tan solo dos vulnerabilidades expusieron todo el mundo interno de la red de distribuidores. Zver cree que esto es un nuevo recordatorio: en cuanto el control de acceso colapsa, todo colapsa.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
