Compartir
Chevistar_chevrolet
Imagen: Chevrolet.com.co

DragonJAR ha denominado “Sé lo que hicieron el diciembre pasado” un articulo acerca de una falla de seguridad en el sistema de correos que maneja el programa Chevystar de Chevrolet con sus usuarios.

Jaime Andrés Restrepo (fundador de la comunidad DragonJAR) es usuario activo del programa Chevystar, un programa de conectividad de Chevrolet que plantea múltiples servicios para controlar y mantenerse al día con lo que respecta a su vehículo, entre muchas otras tareas encontramos conexión remota con el vehículo a través de una aplicación para smartphones, sistema de alarmas y posicionamiento geográfico en tiempo real.

Jaime ha recibido un correo hace unos días con información muy detallada acerca del funcionamiento de su vehículo; el correo en cuestión incluia datos de kilometros recorridos, frenadas en seco y varios promedios de velocidad, sin dejar de lado información personal completa de él como su nobre y algunos datos de contacto.  Jaime es reconocido por sus capacidades en el campo de la seguridad informática y obviamente su mentalidad curiosa lo llevó a investigar un poco acerca de la estructura de datos de estos correos automáticos de Chevystar y de cómo incluía datos personales y tan exactos por medio de un simple correo electrónico.

Correo_chevistar_filtra

Jaime comenzó a evaluar la estructura del correo electrónico y vio que simplemente con cambiar algunas cifras en la estructura de la URL podría tener acceso a información de los clientes de Chevystar, la misma información personal y detallada que incluía el correo que recibió unos días atrás, de esta manera podría saber promedios de velocidades, género de los conductores y manera de conducir (por sus frenadas en seco).

La sorpresa mía fue cuando decidí cambiar el valor numérico de la primera carpeta (la más larga) y darme cuenta que hacía referencia al identificador interno que tiene todos los datos de los poseedores de un vehículo Chevrolet, con su respectivo seguimiento (número de veces que ha frenado en seco, cuantas veces paso los límites de velocidad, número del celular del carro, etc…):

Aclara en su artículo que al incurrir en estas mínimas medidas de protección de datos de los usuarios, Chevrolet y su programa Chevystar estarían incumpliendo la ley colombiana 1581 de octubre 2012 sobre protección de datos personales que incluye claúsulas como:

  • Principio de acceso y circulación restringida
  • Principio de seguridad
  • Principio de confidencialidad

DragonJAR termina su articulo esperando que su tarea de investigación cree una conciencia acerca del manejo de datos personales por parte de las compañías, para evitar posibles filtraciones maliciosas como la ocurrida recientemente en Target durante el Black Friday.

Comentarios

comentarios