Индийская дочерняя компания Hyundai исправила ошибку, из-за которой раскрывалась личная информация ее клиентов на рынке Южной Азии.
TechCrunch изучил часть раскрытых данных, включая имя зарегистрированного владельца, почтовый адрес, адрес электронной почты и номер телефона клиентов Hyundai Motor India, которые обслуживали свои автомобили на любой из авторизованных сервисных станций компании по всей Индии. Ошибка также раскрывала сведения об автомобиле, включая регистрационный номер, цвет, номер двигателя и пройденный пробег.
В телефонном разговоре в четверг представитель Hyundai Motor India Сиддхартха П. Сайкиа заявил, что компания сделает заявление. В заявлении, отправленном по электронной почте, говорилось:
«Мы понимаем важность защиты данных наших клиентов и, соответственно, стремимся создавать надежные системы и процессы. Кроме того, эти системы периодически пересматриваются и обновляются в зависимости от потребностей. Ссылка на заказ на ремонт/счет-фактуру передается только на номер мобильного телефона, зарегистрированный клиентом, после того как он согласился на получение таких обновлений. Это ссылки, создаваемые системой без какого-либо участия человека. Hyundai заверяет, что продолжит прилагать усилия для защиты интересов клиентов».
Hyundai Motor India не ответила на вопросы о том, есть ли у нее технические средства, такие как журналы, для определения несанкционированного доступа к записям клиента, а также не сообщила, воспользовались ли этой проблемой какие-либо злоумышленники.
Исследователь безопасности Ашутош, пожелавший не называть своего имени, поделился с TechCrunch подробностями о простой ошибке. Ошибка раскрывала личную информацию клиента через веб-ссылки, которыми Hyundai Motor India поделилась с клиентами через WhatsApp после получения их автомобилей для обслуживания на авторизованной сервисной станции.
Веб-ссылки, которые перенаправляли клиентов на заказы на ремонт и счета-фактуры в файлах PDF, содержали номер телефона клиента. Злоумышленник может раскрыть информацию других клиентов, изменив номер телефона в ссылке.
TechCrunch подтвердил выводы исследователя и 29 декабря отправил электронное письмо Hyundai Motor India. Компания ответила 4 января. TechCrunch в тот же день поделился подробностями об ошибке с Hyundai Motor India и попросил Hyundai Motor India исправить ошибку в течение семи дней из-за ее простота и строгость. Hyundai Motor India исправила ошибку в четверг.
Получив ответ компании, TechCrunch подтвердил, что ошибка исправлена, а соответствующие ссылки больше не активны — они перенаправляются на страницу с сообщением об ошибке.
Основанная в 1996 году компания Hyundai Motor India входит в тройку крупнейших автопроизводителей страны наряду с Maruti Suzuki и Tata Motors. Hyundai Motor India имеет сеть из более чем 1500 автозаправочных станций по всей стране. В мае автопроизводитель объявил об инвестициях в размере 2,45 миллиарда долларов (200 миллиардов индийских рупий) в течение следующих 10 лет в южный индийский штат Тамил Наду, чтобы поддержать свои планы по развитию электромобилей.