Zveare obtuvo acceso a los nombres, direcciones, números de teléfono, direcciones de correo electrónico e identificaciones fiscales de los clientes, así como al vehículo, el servicio y el historial de propiedad de un número desconocido de clientes de Toyota en México. Pasó por alto la pantalla de inicio de sesión del fabricante de automóviles y modificó el entorno de desarrollo de la aplicación. Aquí es donde se prueba la funcionalidad de una aplicación antes de que se active.
Toyota dijo Noticias de automóviles En un correo electrónico, “se toma en serio las amenazas cibernéticas” y “aborda rápidamente la vulnerabilidad informada”.
El fabricante de automóviles dijo que no había evidencia de acceso malicioso a los sistemas de Toyota y que apreciaba la investigación que hizo Zveare. Invitó a otros piratas informáticos a participar visitando el Programa de divulgación de vulnerabilidades de HackerOne.
La aplicación Toyota C360 recopila datos sobre los clientes de toda la empresa. En una vista única, el empleado puede ver el nombre del cliente, la dirección, la información de contacto, el sexo y la interacción con la empresa. Esta información incluye historial de compras y facturación, problemas de servicio, presencia social y preferencias de canales.
Las empresas pueden usar estos datos para informar las estrategias de compromiso, los pasos del viaje del cliente, las comunicaciones, las ofertas personalizadas y las entregas, escribió Zveare en una publicación de blog que describe el truco.
La vulnerabilidad apareció en la interfaz de programación de aplicaciones, que es un código de software conectado a un servidor web. Una API permite que las aplicaciones basadas en web y los objetos conectados a Internet que se ejecutan fuera de diferentes programas se comuniquen entre sí e intercambien datos para trabajar de manera eficiente. Cuando una API de un servidor se comunica con otro servidor, el extremo de la API especifica dónde otra API accederá a los datos. El punto final puede incluir la URL de un servidor o servicio.
“Es posible que Toyota pensara que nadie encontraría el punto final de la API de producción ya que la aplicación de producción estaba cerrada, pero parece que sus desarrolladores lo integraron en la aplicación de desarrollo”, dijo Zveare. “No hay nada de malo en mejorar la experiencia de carga de la aplicación”, pero en este caso provocó un agujero de seguridad.
Zveare dijo que los desarrolladores de la aplicación de Toyota probablemente hicieron esto para que la aplicación se cargara más rápido.
La información de los clientes de Toyota quedó expuesta porque tampoco era necesario autenticar la configuración de la aplicación.
“Toyota solucionó el problema bloqueando algunos sitios web para que no se conectaran y actualizando las API para requerir un código de autenticación”, dijo Zveare. “Solo un día después de informar el problema a Toyota, desconectaron todos los sitios. Me impresionó la velocidad de su reacción”.
Es probable que Toyota pase las próximas semanas realizando las mejoras de seguridad necesarias y asegurándose de que nadie acceda maliciosamente a la información de los clientes, dijo Zveare.
Zveri dijo que Toyota no emitió una advertencia sobre la violación porque es posible que no se haya encontrado ningún acceso malicioso.
En una violación separada en noviembre, Zveare pirateó una aplicación utilizada por los empleados y proveedores de Toyota. Los datos de los clientes no quedaron expuestos en esta violación, pero se leyeron y escribieron 14 000 cuentas de correo electrónico corporativas y documentos confidenciales asociados, proyectos, calificaciones de proveedores, comentarios y otra información.