De Indiase dochteronderneming van Hyundai heeft een bug gerepareerd die de persoonlijke gegevens van zijn klanten op de Zuid-Aziatische markt openbaar maakte.
TechCrunch heeft een aantal van de openbaar gemaakte gegevens beoordeeld, waaronder de geregistreerde naam van de eigenaar, het postadres, het e-mailadres en het telefoonnummer van klanten van Hyundai Motor India die hun voertuig hebben laten onderhouden bij een van de geautoriseerde servicestations van het bedrijf in heel India. De bug onthulde ook details van het voertuig, waaronder kenteken, kleur, motornummer en kilometerstand.
In een telefoongesprek op donderdag zei Hyundai Motor India-woordvoerder Siddhartha P. Saikia dat het bedrijf een verklaring zou afgeven. Wanneer gedeeld via e-mail, zegt de verklaring:
“Wij begrijpen het belang van het beschermen van de gegevens van onze klanten en streven daarom naar robuuste systemen en processen. Bovendien worden deze systemen periodiek herzien en indien nodig bijgewerkt. De reparatieorder-/factuurlink wordt alleen gedeeld op het mobiele nummer dat door de gebruiker is geregistreerd, nadat hij ervoor heeft gekozen dergelijke updates te ontvangen. Dit zijn door het systeem gegenereerde koppelingen zonder enige menselijke tussenkomst. Hyundai verzekert voortdurende inspanningen om de belangen van klanten te beschermen.”
Hyundai Motor India reageerde niet op vragen of het over technische middelen beschikte, zoals logboeken, om ongeoorloofde toegang tot klantgegevens te detecteren, en het bedrijf wilde ook niet zeggen of slechte actoren misbruik hadden gemaakt van het probleem.
Beveiligingsonderzoeker Ashutosh, die niet volledig bij naam genoemd wil worden, deelde de details van de eenvoudige bug met TechCrunch. De bug onthulde de persoonlijke informatie van gebruikers via weblinks die Hyundai Motor India via WhatsApp met klanten deelde nadat ze hun voertuig hadden ontvangen voor onderhoud bij een erkend servicecentrum.
Weblinks waarmee klanten bestellingen en facturen in pdf-bestanden konden repareren, bevatten het telefoonnummer van de klant. Een kwaadwillende actor zou de informatie van andere klanten kunnen onthullen door het telefoonnummer in de link te wijzigen.
TechCrunch bevestigde de bevindingen van de onderzoekers en stuurde op 29 december een e-mail naar Hyundai Motor India. Het bedrijf reageerde op 4 januari. TechCrunch deelde op dezelfde dag de details van de bug met Hyundai Motor India en vroeg Hyundai Motor India om de bug binnen zeven dagen op te lossen vanwege de eenvoud en ernst ervan. Hyundai Motor India corrigeerde de fout donderdag.
Na ontvangst van de reactie van het bedrijf bevestigde TechCrunch dat de bug is verholpen en dat de betreffende links niet langer actief zijn, waarbij wordt doorverwezen naar de pagina met de foutmelding.
Hyundai Motor India, opgericht in 1996, behoort samen met Maruti Suzuki en Tata Motors tot de top drie autofabrikanten van het land. Hyundai Motor India heeft een netwerk van meer dan 1.500 tankstations in het land. In mei kondigde de autofabrikant een investering aan van 2,45 miljard dollar (200 miljard Indiase roepies) in de komende tien jaar in de Zuid-Indiase deelstaat Tamil Nadu om zijn plannen voor elektrische voertuigen te versterken.