Propietario de coche descubre vulnerabilidad de seguridad en la aplicación de Volkswagen
El experto en seguridad de la información Vishal Bhaskar ha descubierto una vulnerabilidad crítica en la aplicación My Volkswagen, que podría permitir a los atacantes acceder a los datos personales de los propietarios de coches con solo el número de identificación del vehículo (VIN). La vulnerabilidad afectó solo a la versión india de la aplicación y Volkswagen ya la ha corregido.
Esto es lo que sabemos
Bhaskar se encontró accidentalmente con el problema como un propietario de coche común. Compró un coche usado e intentó conectarse a él a través de la aplicación. Sin embargo, la contraseña de un solo uso (OTP) requerida para la confirmación resultó ser enviada al correo electrónico del antiguo propietario. Incapaz de contactarlo rápidamente, Bhaskar comenzó a analizar las solicitudes API de la aplicación y descubrió que no había un bloqueo por entrada incorrecta de la contraseña.
El investigador escribió un script que buscaba a través de todos los posibles códigos de cuatro dígitos. En solo unos segundos, se encontró la contraseña y pudo acceder a los datos del coche. Para esto, Bhaskar solo necesitaba el VIN, que se puede ver libremente a través del parabrisas.
No se detuvo ahí y continuó su investigación. Según él, uno de los endpoints de la API devolvía inicios de sesión, contraseñas y tokens a varios servicios de Volkswagen en texto claro. A través de otro, accedió a datos de servicio, incluidos contratos firmados, información de pago y detalles personales de los propietarios: nombres, números de teléfono, direcciones y correos electrónicos.
Particularmente alarmante fue el hecho de que a través de algunos endpoints, se podían recuperar datos telemáticos de los vehículos, incluida su geolocalización actual. En algunos casos, la base de datos incluso almacenaba información sobre los detalles de la licencia de conducir y contactos de emergencia. Como enfatizó Bhaskar, la magnitud de las vulnerabilidades era "extremadamente grave".
El investigador se acercó a Volkswagen con un informe sobre las vulnerabilidades encontradas en noviembre de 2024. Al principio, le resultó difícil encontrar a los representantes adecuados, dijo, pero cuatro días después del primer correo electrónico, la empresa envió un acuse de recibo. En mayo de 2025, recibió la confirmación oficial de que todas las vulnerabilidades encontradas habían sido corregidas.
Fuente: Loopsec/Medium
