A subsidiária da Hyundai na Índia corrigiu um bug que expunha as informações pessoais de seus clientes no mercado do sul da Ásia.
O TechCrunch revisou uma parte dos dados expostos que incluíam o nome registrado do proprietário, endereço para correspondência, endereço de e-mail e número de telefone de clientes da Hyundai Motor India que consertaram seus veículos em qualquer uma das estações de serviço autorizadas da empresa em toda a Índia. O bug também revelou detalhes do veículo, incluindo número de matrícula, cor, número do motor e quilometragem percorrida.
Em conversa por telefone na quinta-feira, o porta-voz da Hyundai Motor India, Siddhartha P. Saikia, disse que a empresa forneceria um comunicado. Quando compartilhada por e-mail, a declaração dizia:
“Compreendemos a importância de proteger os dados dos nossos clientes e, consequentemente, nos esforçamos para criar sistemas e processos robustos. Além disso, esses sistemas são revisados e atualizados periodicamente com base nas necessidades. O link Pedido de Reparo/Fatura é compartilhado apenas no número de celular cadastrado pelo cliente, uma vez que ele tenha optado por receber tais atualizações. Estes são links gerados pelo sistema sem qualquer envolvimento humano. A Hyundai assegura esforços contínuos para salvaguardar o interesse dos clientes.”
A Hyundai Motor India não respondeu a perguntas sobre se tinha os meios técnicos, como registos, para determinar qualquer acesso indevido aos registos de um cliente, nem a empresa disse se algum malfeitor explorou o problema.
O pesquisador de segurança Ashutosh, que preferiu não ser identificado por completo, compartilhou os detalhes sobre o bug simples com o TechCrunch. O bug expôs as informações pessoais do cliente por meio de links da web que a Hyundai Motor India compartilhou com os clientes pelo WhatsApp após receberem seus veículos para manutenção em um posto de serviço autorizado.
Os links da web que redirecionavam os clientes para os pedidos de reparo e faturas em arquivos PDF continham o número de telefone do cliente. Um ator mal-intencionado poderia expor as informações de outros clientes alterando o número de telefone no link.
O TechCrunch confirmou as descobertas do pesquisador e enviou um e-mail à Hyundai Motor India em 29 de dezembro. A empresa respondeu em 4 de janeiro. O TechCrunch compartilhou os detalhes do bug com a Hyundai Motor India no mesmo dia e solicitou que a Hyundai Motor India corrigisse o bug dentro de sete dias devido a sua simplicidade e severidade. A Hyundai Motor India corrigiu o bug na quinta-feira.
Ao receber a resposta da empresa, o TechCrunch confirmou que o bug foi corrigido e os links em questão não estavam mais ativos — redirecionados para uma página com uma mensagem de erro.
Fundada em 1996, a Hyundai Motor India está entre as três principais montadoras do país, ao lado da Maruti Suzuki e da Tata Motors. A Hyundai Motor India possui uma rede de mais de 1.500 postos de serviço no país. Em maio, a montadora anunciou um investimento de US$ 2,45 bilhões (200 bilhões de rúpias indianas) nos próximos 10 anos no estado de Tamil Nadu, no sul da Índia, para reforçar seus planos para veículos elétricos.
