Saltar al contenido

Honda filtró información personal de su aplicación Honda Connect

01/11/2020

Los expertos del Centro de seguridad de Tecnologardescubrieron recientemente dos Buckets públicos no seguros de Amazon AWS S3, ambos pertenecientes a Honda Car India. En su interior se encontraron bases de datos desprotegidas que contienen la información personal de más de 50.000 usuarios de su aplicación Honda Connect.

¿Qué se filtró?

La información filtrada contenía nombres, números de teléfono tanto de los usuarios como de sus contactos de confianza, contraseñas, género, direcciones de correo electrónico tanto de los usuarios como de sus contactos de confianza, además de información sobre sus coches, incluidos VIN, Connect ID y más.

¿Qué es Honda Connect?

Honda Connect es una aplicación para teléfonos inteligentes que se jacta de brindar al usuario una sensación de seguridad y protección.

Las características incluyen: alertas de servicio periódicas, reserva / edición de servicios, sistema de comentarios, localizador de distribuidores y bombas de combustible cercanos, Mis documentos (para almacenar documentos importantes para su automóvil), Registro de combustible, SoS (una solución de un clic para que familiares y amigos conozcan su ubicación exacta en caso de emergencia), Calculadora de costos de servicio, Calendario del automóvil (para recordar la renovación del seguro, controles de contaminación y otra información), y cuando se combina con un Dispositivo conectado: Monitoreo del estado del vehículo, Localizar mi automóvil (encuentre la ubicación exacta de su automóvil), análisis de viajes (incluida la ruta recorrida, las paradas realizadas, información sobre tiempos de inactividad, frenado, velocidad, aceleración, etc.) Esta es una gran cantidad de información para proporcionar a un atacante.

¡No fuimos los primeros en encontrar estos cubos!

TecnologarSecurity Center también descubrió que el investigador de seguridad @Random_Robbie (twitter) había accedido a los S3 Buckets al menos una vez antes, y les dejó la siguiente nota llamada poc.txt, con fecha del 28 de febrero de 2018:

¡Simplemente asombroso!

Con el volumen de cizallamiento de los cubos S3 con fugas descubiertos y la enorme cantidad de cobertura que se les ha dado, nos sorprende que todavía los encontremos. Muestra que muchas empresas de todos los tamaños no prestan atención a su seguridad. Honda Car India ni siquiera se dio cuenta de que un investigador de seguridad agregó una nota a sus cubos. No hay excusa para eso, ilustra claramente que simplemente están funcionando en piloto automático sin monitoreo alguno.

¿Qué se puede hacer con esta información?

En este caso particular, la información filtrada podría dar a un atacante acceso a todo en ese teléfono, pero específicamente con respecto a esta aplicación cuando se empareja con un dispositivo conectado: dónde se encuentra el automóvil de alguien actualmente, adónde fue, dónde suele conducir, cómo conducir, y dónde comienzan y terminan. Teniendo en cuenta cómo usamos nuestros automóviles, esto podría brindarle al atacante conocimiento de las actividades diarias del usuario, incluido dónde vive, trabaja, compra y juega, lo que hace que sea muy fácil acechar a alguien.

¿Como se puede hacer esto?

Las direcciones de correo electrónico (incluidos los contactos de confianza), los números de teléfono (incluidos los contactos de confianza) y otros datos personales filtrados brindan al atacante toda la información necesaria para lanzar un ataque de spear phishing muy específico. No sería demasiado difícil enviar un correo electrónico o un mensaje de texto con un enlace ciberocupado malicioso que parece provenir de una fuente confiable que con un simple clic puede hacer muchas cosas, incluso comprometer su dispositivo, dándole al atacante acceso completo (consulte nuestra investigación sobre cómo proteger su privacidad en línea).

Notificación y respuesta

TecnologarSecurity Center notificó rápidamente a Honda Cars India y, aunque tomó un tiempo, finalmente obtuvimos una respuesta y Honda Cars India ya ha asegurado estos S3 Buckets.

ACERCA DE MACKEEPER

Con Tecnologar, nuestro objetivo es hacer que el uso de su Mac sea más fácil y seguro a través de soluciones tecnológicas confiables. Tecnologarviene con lo esencial que su Mac necesita, como un limpiador de disco y un optimizador de rendimiento, así como herramientas para proteger su privacidad y seguridad.