La filial india de Hyundai solucionó un error que exponía la información personal de sus clientes en el mercado del sur de Asia.
TechCrunch revisó una parte de los datos expuestos que incluían el nombre del propietario registrado, la dirección postal, la dirección de correo electrónico y el número de teléfono de los clientes de Hyundai Motor India que dieron servicio a sus vehículos en cualquiera de las estaciones de servicio autorizadas de la compañía en toda la India. El error también reveló detalles del vehículo, incluido el número de registro, el color, el número de motor y el kilometraje cubierto.
En una conversación telefónica el jueves, el portavoz de Hyundai Motor India, Siddhartha P. Saikia, dijo que la compañía haría una declaración. Cuando se compartió por correo electrónico, la declaración decía:
“Entendemos la importancia de salvaguardar los datos de nuestros clientes y, en consecuencia, nos esforzamos por crear sistemas y procesos sólidos. Además, estos sistemas se revisan y actualizan periódicamente según las necesidades. El enlace Orden de reparación/Factura se comparte únicamente en el número de teléfono móvil registrado por el cliente, una vez que haya optado por recibir dichas actualizaciones. Estos son enlaces generados por el sistema sin ninguna participación humana. Hyundai garantiza esfuerzos continuos para salvaguardar los intereses de los clientes”.
Hyundai Motor India no respondió preguntas sobre si tenía los medios técnicos, como registros, para determinar cualquier acceso indebido a los registros de un cliente, ni dijo si algún mal actor aprovechó el problema.
El investigador de seguridad Ashutosh, que prefirió no ser identificado en su totalidad, compartió los detalles sobre el simple error con TechCrunch. El error expuso la información personal del cliente a través de los enlaces web que Hyundai Motor India compartió con los clientes a través de WhatsApp después de recibir sus vehículos para su mantenimiento en una estación de servicio autorizada.
Los enlaces web que redireccionaban a los clientes a las órdenes de reparación y facturas en archivos PDF contenían el número de teléfono del cliente. Un actor malintencionado podría exponer la información de otros clientes cambiando el número de teléfono en el enlace.
TechCrunch confirmó los hallazgos del investigador y envió un correo electrónico a Hyundai Motor India el 29 de diciembre. La compañía respondió el 4 de enero. TechCrunch compartió los detalles del error con Hyundai Motor India el mismo día y solicitó a Hyundai Motor India que solucionara el error dentro de los siete días debido a su sencillez y severidad. Hyundai Motor India solucionó el error el jueves.
Al recibir la respuesta de la compañía, TechCrunch confirmó que el error se había solucionado y que los enlaces en cuestión ya no estaban activos y eran redirigidos a una página que mostraba un mensaje de error.
Fundada en 1996, Hyundai Motor India se encuentra entre los tres principales fabricantes de automóviles del país, junto con Maruti Suzuki y Tata Motors. Hyundai Motor India tiene una red de más de 1.500 estaciones de servicio en el país. En mayo, el fabricante de automóviles anunció una inversión de 2,45 mil millones de dólares (200 mil millones de rupias indias) durante los próximos 10 años en el estado de Tamil Nadu, en el sur de la India, para reforzar sus planes para los vehículos eléctricos.
