Ataques

Así salvó Honda los datos de 26.000 de sus clientes

Entre el 4 y el 11 de diciembre, cualquier usuario con un navegador web pudo acceder a los datos de 26.000 clientes de Honda North America. Por suerte, Honda reaccionó rápidamente y están de nuevo protegidos.

Honda Salón de Los Ángeles 2019

Las marcas no sólo sufren ciberataques directamente contra sus coches… también necesitan proteger los datos de sus compradores. Esto es algo que Honda ha experimentado en EE.UU., después de que quedasen al descubierto los datos personales de cerca de 26.000 clientes de la marca.

Dicha información comprendía los nombres completos, correos electrónicos, direcciones postales, números de teléfono… y toda una serie de datos sobre cada vehículo: marca y modelo, número de identificación, e información sobre los diferentes servicios prestados. Es más, la base de datos contenía incluso claves internas e información sobre el mantenimiento del coche.

Cualquier persona con un navegador web podía encontrar todos estos datos. De hecho, no hacía falta ninguna identificación para entrar y visualizarlos: ni contraseñas, ni ningún otro tipo de autenticación. Según la marca, esta base de datos servía para prestar servicios telemáticos a nuevos clientes de Honda, quien insiste en que no se filtró información financiera ni sobre tarjetas de crédito.  

En total, Honda North America expuso 976 millones de registros, almacenados en un clúster del motor de búsqueda de texto Elasticsearch. Dicho clúster se había desconfigurado el pasado 21 de octubre. De esa cantidad, aproximadamente un millón consistían en datos de los clientes de la marca.

En realidad, el hacker que detectó el problema, Bob Diachenko, reconoce que no consiguió diferenciar con exactitud cuántos datos únicos de clientes habían quedado desprotegidos, por lo que la estimación corresponde a las estadísticas de los clústers y a una búsqueda mediante palabras clave. De ahí la diferencia con los 26.000 clientes que cifra Honda, que son el resultado de haber descontado la información duplicada.

Así se descubrió

El 4 de diciembre, el motor de búsqueda BinaryEdge indexó la base de datos de Honda por primera vez. La marca resolvió el problema una semana después de que surgiera, pero apenas unas horas después del aviso de Diachenko. «Rápidamente investigamos este tema, determinamos la infracción específica de protocolo, y tomamos acciones inmediatas para ocuparnos de la vulnerabilidad”, le respondía Honda al hacker, a la vez que agradecía su aviso. Un equipo de expertos informáticos de Honda en Japón se encargó de poner los datos de nuevo a buen recaudo.

Ahora bien, Diachenko cree que fue tiempo de sobra para que varios crackers maliciosos accedieran al servidor y copiaran los datos, aunque todavía no hay constancia de que el incidente haya tenido mayores consecuencias. Dos días después de la advertencia, Honda cerró el servidor afectado.

En un artículo para la web Security Discovery, Diachenko explicaba las utilidades de una base de datos como ésta para los cibercriminales. El aprovechamiento más obvio es el de campañas de phishing: usar la información para suplantar a la organización y enviar correos a los usuarios, engañándoles para que faciliten información personal sensible.

¿Cómo actuar si a una empresa le roban tus datos?

Si eres cliente de Honda en España, no tienes nada que temer. La filtración sólo afecta a Honda North America. Sin embargo, no estamos libres de que ocurra un episodio parecido con cualquier otra compañía… Por eso, si te ves afectado por la fuga de información de una empresa, recuerda que tienes derecho a una compensación económica por el daño causado. Así lo establece el nuevo Reglamento General de Protección de Datos, explica Tomás Prieto, presidente del Instituto Internacional de Privacidad y Seguridad de la Información -IIPSI-. Eso sí, para conseguirla, tendrías que acudir por vía judicial, y que la Agencia Española de Protección de Datos confirme el daño. Asimismo, cada concesionario tiene que contar con un Delegado de Protección de Datos; o, al menos, tener externalizado este servicio.

Mercedes Anguita
Periodista y académica de la comunicación. Quería descubrir cómo sería el automóvil del siglo XXI. Ahora que lo sé, quiero descubrir cómo será el de la era cibernética. Trabajar en HackerCar me permite disfrutar de él en todo su esplendor. El mejor coche es el que está por llegar. Apasionada de la competición y de cómo las nuevas tecnologías se aprovechan para obtener la última milésima.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.