Los propietarios de automóviles Mercedes-Benz han dicho que la aplicación que utilizaron para localizar, desbloquear y arrancar sus automóviles de forma remota mostraba la información de la cuenta y del vehículo de otras personas.
TechCrunch habló con dos clientes que dijeron que la aplicación de automóvil conectada de Mercedes-Benz estaba obteniendo información de otras cuentas y no de la suya, lo que les permitió ver los nombres de otros propietarios de automóviles, actividad reciente, números de teléfono y más.
El aparente lapso de seguridad ocurrió el viernes por la noche antes de que la aplicación se desconectara "debido al mantenimiento del sitio" unas horas más tarde.
No es raro que los vehículos modernos en estos días vengan con una aplicación de teléfono. Estas aplicaciones se conectan a su automóvil y le permiten ubicarlas remotamente, bloquearlas o desbloquearlas, y encender o apagar el motor. Pero a medida que los automóviles se conectan a Internet y se conectan a las aplicaciones, las fallas de seguridad han permitido a los investigadores secuestro remoto o rastrear vehículos.
El propietario de un automóvil con sede en Seattle dijo a TechCrunch que su aplicación obtuvo información de varias otras cuentas. Dijo que tanto él como un amigo, ambos propietarios de Mercedes, tenían el mismo automóvil que pertenecía a otro cliente, en sus respectivas aplicaciones, pero todos los demás detalles de la cuenta eran diferentes.
Capturas de pantalla de la aplicación Mercedes-Benz que muestran el vehículo de otra persona y datos expuestos que pertenecen al propietario de otro automóvil. (Imagen: suministrada)
Los propietarios de automóviles con los que hablamos dijeron que pudieron ver la actividad reciente del automóvil, incluidas las ubicaciones de don de había estado recientemente, pero no pudieron rastrear la ubicación en tiempo real utilizando la función de la aplicación.
Cuando se contactó con Mercedes-Benz, un representante de servicio al cliente le dijo que "elimine la aplicación" hasta que se solucione, dijo.
El otro propietario del automóvil con el que hablamos dijo que abrió la aplicación y descubrió que también apareció en el perfil de otra persona.
"Me puse en contacto con la persona propietaria del automóvil que estaba apareciendo", dijo a TechCrunch. "Pude ver que el auto estaba en Los Ángeles, donde había estado, y de hecho estaba allí", agregó.
Dijo que no estaba seguro si la aplicación había expuesto su información privada a otro cliente.
"Bastante malo en mi opinión", dijo.
El primer cliente informó que las funciones "bloquear y desbloquear" y el motor "iniciar y detener" no funcionaban en su aplicación, lo que limitaba en cierta medida el impacto del lapso de seguridad. El otro cliente dijo que no intentó probar ninguna de las características.
No está claro cómo ocurrió el lapso de seguridad o qué tan extendido fue el problema. Un portavoz de Daimler, la empresa matriz de Mercedes-Benz, no respondió a una solicitud de comentarios el sábado.
De acuerdo con Google Play clasificaciones, más de 100,000 clientes han instalado la aplicación.
UNA lapso de seguridad similar llegó a la aplicación móvil de Credit Karma en agosto. La compañía de monitoreo de crédito admitió que a los usuarios se les mostró inadvertidamente información de la cuenta de otros usuarios, incluidos detalles sobre cuentas y saldos de tarjetas de crédito. Pero a pesar de revelar información de otras personas, la compañía negó una violación de datos.