Qualsevol podia accedir a dades personals i contractes de propietaris fent servir únicament el número d’identificació del vehicle (VIN).

Un expert en seguretat informàtica, a més de propietari d’un vehicle Volkswagen, ha descobert una vulnerabilitat a l’aplicació mòbil del fabricant de cotxes, El meu Volkswagen. 

Aquesta eina permetria que els atacants accedissin a les dades personals de propietaris de vehicles només amb el número d’identificació del cotxe (VIN).

Vishal Bhaskar va topar amb el problema de seguretat després d’adquirir un vehicle usat i intentar accedir-hi mitjançant l’app esmentada. 

L’expert en seguretat es va trobar que la contrasenya d’ús únic (OTP) havia estat enviada al propietari anterior. Com que no el podia contactar, va començar a analitzar les sol·licituds de l’API de l’aplicació i va descobrir que no hi havia cap bloqueig per introducció incorrecta de la contrasenya.

Va ser aleshores quan Bhaskar va crear un script que va buscar tots els codis de quatre dígits possibles. Només en van tenir prou amb uns segons per trobar la clau i va poder accedir a totes les dades del cotxe. Només va necessitar el VIN, una dada visible a través del parabrisa.

L’investigador va voler anar més enllà i continuar la investigació. Un dels endpoints de l’API tornava dades d’inici de sessió, contrasenyes i tokens a diversos serveis de Volkswagen sense xifrar. A través d’un altre, va accedir a dades de servei, inclosos contractes signats, informació de pagament i dades personals dels propietaris: noms, números de telèfon, adreces i correus electrònics. 

Encara més preocupant va ser que mitjançant alguns punts terminals es podien recuperar dades telemàtiques dels vehicles, incloent-hi la geolocalització actual. 

Bhaskar ha definit l’abast de les vulnerabilitats com a “extremadament greu”. 

Una bretxa de dades local i ja solucionada

No obstant això, la vulnerabilitat únicament es donaria a la versió índia de My Volkswagen i la casa alemanya sembla que ja l’ha corregida. 

Tot i que Bhastar va trobar aquests problemes al novembre, fins al maig no va rebre la confirmació oficial del fabricant que totes les vulnerabilitats detectades s’havien corregit.