La subsidiaria de India de Hyundai ha solucionado un error que expuso la información personal de sus clientes en el mercado del sur de Asia.
TechCrunch revisó una parte de los datos expuestos que incluían el nombre del propietario registrado, la dirección postal, la dirección de correo electrónico y el número de teléfono de los clientes de Hyundai Motor India que han llevado sus vehículos a cualquier estación de servicio autorizada por la empresa en la India. El error también reveló detalles del vehículo, como el número de registro, el color, el número de motor y la distancia recorrida.
En una conversación telefónica el jueves, el portavoz de Hyundai Motor India, Siddhartha P. Saikia, dijo que la empresa proporcionaría una declaración. Cuando se compartió por correo electrónico, la declaración decía:
«Entendemos la importancia de proteger los datos de nuestros clientes y, en consecuencia, nos esforzamos por crear sistemas y procesos sólidos. Además, estos sistemas se revisan y actualizan periódicamente en función de las necesidades. El enlace de orden de reparación/factura se comparte solo en el número de móvil registrado por el cliente, una vez que han optado por recibir dichas actualizaciones. Estos son enlaces generados por el sistema sin participación humana. Hyundai asegura esfuerzos continuos para salvaguardar el interés de los clientes.»
Hyundai Motor India no respondió a preguntas sobre si tenía los medios técnicos, como logs, para determinar cualquier acceso no autorizado a los registros de los clientes, ni la empresa dijo si algún actor malintencionado explotó el problema.
El investigador de seguridad Ashutosh, quien prefirió no ser identificado por completo, compartió los detalles sobre el error con TechCrunch. El error expuso la información personal del cliente a través de los enlaces web que Hyundai Motor India compartió con los clientes a través de WhatsApp después de recibir sus vehículos para su servicio en una estación de servicio autorizada.
Los enlaces web que redirigían a los clientes a las órdenes de reparación y facturas en archivos PDF contenían el número de teléfono del cliente. Un actor malicioso podría exponer la información de otros clientes cambiando el número de teléfono en el enlace.
TechCrunch confirmó los hallazgos del investigador y envió un correo electrónico a Hyundai Motor India el 29 de diciembre. La empresa respondió el 4 de enero. TechCrunch compartió los detalles del error con Hyundai Motor India el mismo día, y solicitó que la empresa corrigiera el error en siete días debido a su simplicidad y gravedad. Hyundai Motor India solucionó el error el jueves.
Tras recibir la respuesta de la empresa, TechCrunch confirmó que el error se había solucionado y que los enlaces en cuestión ya no estaban activos, redirigiéndose a una página con un mensaje de error.
Fundada en 1996, Hyundai Motor India se encuentra entre los tres principales fabricantes de automóviles del país, junto con Maruti Suzuki y Tata Motors. Hyundai Motor India cuenta con una red de más de 1,500 estaciones de servicio en el país. En mayo, la empresa anunció una inversión de $2.45 mil millones de dólares (200 mil millones de rupias indias) durante los próximos 10 años en el estado sureño de Tamil Nadu para reforzar sus planes de vehículos eléctricos.
