Zveare descubrió que podía piratear el portal web generando un token web JSON, o JWT, utilizando una dirección de correo electrónico de Toyota, incluso sin contraseña.
Un JWT permite utilizar una sesión autenticada válida en un sitio web. Por lo general, se emite un JWT después de que un usuario inicia sesión en un sitio web utilizando un correo electrónico y una contraseña para acceder a partes seguras de un sitio web con una identidad verificada.
Para obtener un JWT para el portal, Zveare buscó en Internet empleados de la cadena de suministro de Toyota. Usando el formato: [email protected]Zveare ingresó el nombre de un empleado de Toyota y encontró una coincidencia exitosa. Después de buscar en el portal, encontró una cuenta con privilegios de administrador del sistema y utilizó el mismo proceso para obtener acceso de lectura y escritura a 14 000 cuentas de correo electrónico de Toyota.
en un correo electrónico a Noticias de automóvilesZveare, un apicultor a tiempo parcial y director de tecnología de un minorista digital, dijo que los clientes minoristas de Toyota no deberían preocuparse porque el ataque no reveló su información personal.
“Por otro lado, los socios y proveedores de Toyota deberían estar profundamente preocupados de que las direcciones de correo electrónico corporativas y otra información relacionada con su relación con Toyota puedan descartarse fácilmente y venderse en el mercado negro para campañas de phishing u otros fines maliciosos”, dijo Zveri.
Zveare es parte de un grupo de hackers de sombrero blanco que buscan vulnerabilidades con la esperanza de obtener una recompensa.
Aunque Toyota apreció su investigación sobre seguridad, Zveare no obtuvo la recompensa que esperaba.
“Dada la cantidad de ganancias que obtienen anualmente, creo que definitivamente deberían asignar algo a sus equipos de seguridad que puedan usar para recompensar a los investigadores”, dijo Zveri. “Si bien siempre se agradece la discreción, si no da dinero, puede ser más atractivo para los piratas informáticos vender sus hazañas en el mercado negro”.
Toyota tiene un programa oficial de investigadores de seguridad que investigan vulnerabilidades potenciales. Profitt dijo que se alienta a los investigadores interesados en asociarse con Toyota a visitar www.hackerone.com/toyota.
Este es el segundo gran problema de seguridad al que se ha enfrentado Toyota en los últimos meses. En septiembre de 2022, el pirata informático de sombrero blanco Sam Curry y otros investigadores de seguridad de software obtuvieron acceso a la información personal de los clientes de Toyota a través de un servicio telemático proporcionado por SiriusXM.