NexOpt, una compañía de gestión de flotas alemana que presumía de garantizar la máxima seguridad de los datos, habría experimentado una falla.
El equipo de investigación de Cybernews ha encontrado que los detalles de los gestores de flotas estaban accesibles a cualquiera.
Una instancia no segura de NexOpt Kibana expuso numerosos detalles de clientes de NexOpt, incluyendo números de identificación de vehículos, ubicaciones de flotas y vehículos en tiempo real y otra información que no estaba destinada al público.
Esta instancia filtrada contenía casi 1 TB de datos. Desde Cybernews creen que parte de la información se había generado con fines de desarrollo.
Los ciberdelincuentes habrían podido acceder a números de identificación del vehículo (VIN), identificadores IMEI del dispositivo NExOpt, datos de movimiento de vehículos, origen del viaje y destino, rutas, datos del nivel de combustible o carga y datos de asientos del conductor.
La filtración habría comprometido millones de detalles de viajes comerciales y probablemente algunos no comerciales. Además, de acuerdo a los VIN registrados en el sistema parece que los datos afectados fueron generados por más de 300.000 vehículos únicos.
La mayoría de movimientos expuestos se registraron en el sur de Alemania y países vecinos, aunque se detectaron algunos viajes en EE. UU., África y la parte asiática de Rusia.
Aunque las soluciones de gestión de flotas se usan a menudo en vehículos de transporte de mercancías los investigadores también hallaron un número significativo de VIN que identificaban turismos ligeros.
El equipo de investigación trató de contactar con la compañía y el CERT correspondiente en varias ocasiones y la instancia expuesta fue protegida.
Peligros para los afectados
"La filtración genera diversos peligros para las partes involucradas. Por un lado, los datos podrían explotarse para recopilar inteligencia empresarial, lo que a su vez podría utilizarse para organizar operaciones delictivas reales con la intención de robar o modificar la carga transportada", ha declarado Aras Nazarovas, investigador de seguridad informática de Cybernews.
"Filtrar datos de ubicación siempre es peligroso, pero exponer información sobre flotas enteras conlleva riesgos adicionales. Por ejemplo, los delincuentes podrían utilizar la información para manipular mercancías transportadas, lo que afectaría la integridad y la confidencialidad de la cadena de suministro. Los datos de terceros con los que una empresa realiza negocios también pueden explotarse para atacar indirectamente a otras empresas a través de socios", concluye la firma.