Sé lo que hicieron el diciembre pasado

Se lo que hicieron el diciembre pasado.... Es lo que sentí que les decía Chevrolet a todos sus clientes con el sistema CheviStar, al recibir un correo electrónico bastante peculiar de su parte.

Se lo que hicieron el diciembre pasado

Para aclarar mejor el título de película de terror noventera de esta entrada debo remontarme dos años atrás cuando tuve la necesidad de conseguirme un carro para transportarme (pero no esté carro del qué sabrán más adelante), entre todas las opciones que tenía me decidí por un Spark GT de Chevrolet, el cual incluía un novedoso sistema llamado CheviStar de forma gratuita por un año.

El servicio CheviStar, de Chevrolet, funciona a través de un dispositivo instalado en el vehículo, el cual cuenta con conexión independiente a internet vía 3g y con su propio número telefónico, que le permite ofrecer las siguientes funcionalidades:

  • Recuperación de vehículo en caso de hurto
  • Servicios remotos (apertura y cierre remoto de puertas, luces y bocina, localízame, sígueme, alertas de estacionado y velocidad)
  • Envío remoto de rutas GPS
  • Monitoreo en ruta
  • Asistencia en ruta
  • Servicio de conserjería
  • Servicio de pico y placa

El servicio como tal no es malo, lo he usado con bastante frecuencia y por cierto me han sido muy útiles sus funciones en varias ocasiones, el problema radica en un correo electrónico que me ha llegado recientemente y que ha dado origen a esta nota.

El correo en cuestión es primera vez que me llega y no sé si va a ser algo constante pero personalmente me parece muy preocupante ya que contiene información, que a mi parecer, es bastante sensible y que cualquier persona con un poco de curiosidad podrá ver:

Se lo que hicieron el diciembre pasado 1

Como pueden ver el correo no solo contiene mi nombre completo, el modelo de mi vehículo, su placa, sino que también incluye el teléfono de mi carro, cuantos kilómetros recorrí en mi auto en diciembre, cual fué mi velocidad máxima, cuantas veces pasé los límites de velocidad, cuantas veces frené en seco el mes de diciembre y hasta su correo electrónico, fácilmente extraíble de la opción (no recibir más correos de este tipo).

Por lo visto Chevrolet "sabe lo que hice con mi carro el diciembre pasado", pero el tema no termina ahí, como todo usuario curioso me dio por ver todos los enlaces de este macabro correo, cuando un texto llamó mi atención:

Si no puede ver correctamente las imágenes de este correo haga clic aquí.

Al hacer click donde me decía el correo, encuentro una copia exacta del mail en cuestión, alojado en un servidor web, con una estructura más o menos así:

http://direccioninventadachevrolet.com/correos/00000000/0000.html

Me enfoqué en los nombres numéricos de la carpeta que parecían hacer referencia a algún identificador y después de varias pruebas me doy cuenta lo que significaba cada cosa, el nombre numérico del archivo HTML al parecer hacía referencia a diferentes campañas de mailing que utilizaba también mis datos, como se puede ver a continuación:

Se lo que hicieron el diciembre pasado 3

La sorpresa mía fue cuando decidí cambiar el valor numérico de la primera carpeta (la más larga) y darme cuenta que hacía referencia al identificador interno que tiene todos los datos de los poseedores de un vehículo Chevrolet, con su respectivo seguimiento (número de veces que ha frenado en seco, cuantas veces paso los límites de velocidad, número del celular del carro, etc...):

Se lo que hicieron el diciembre pasado 4

Encontrándome con un señor (me imagino por el nombre) que ha sido un "poquito" menos prudente que yo al manejar su vehículo y que según los datos tranquilamente podría ser el protagonista de la película a la que se hace alusión en esta entrada.

En este punto y después de realizar manualmente varias pruebas encontrándome siempre con datos de clientes diferentes, me decidí a hacer un sencillo script que me permitiera descargar masivamente esta información:

Se lo que hicieron el diciembre pasado 5

Después de unas cuantas horas de descarga y varias expresiones regulares ya tenía un archivo .XML editable con Excel del cual podría extraer la información mucho más fácilmente para resolverme preguntas como.

Se lo que hicieron el diciembre pasado 2

  • ¿Qué modelo de Chevrolet es más propenso a tener accidentes?, tomando como parámetro que entre más frenazos en seco tuviera hay más probabilidades de que uno de ellos sea un accidente.
    R./ SPARK 1.2L M/T FULL
  • ¿Quién corre más en los carros Chevrolet, los hombres o las mujeres?, tomando como muestra las personas que desarrollaron más de 130 kilómetros por hora, y el nombre de la persona.
    R./ LOS HOMBRES CORREN MÁS
  • ¿Cuál es el carro Chevrolet que más personas tienen?, tomando este grupo como muestra y agrupando las diferentes versiones de un mismo modelo.
    R./ CHEVROLET SPARK

El correo electronico que dio vida a esta entrada y resolvió varias preguntas que siempre causan polémica al son de unas cervezas, también fué el detonante para fijar la mirada en el sistema CheviStar de Chevrolet y empezar a investigarlo a fondo y cuyo resultado se expondrá en el BSides Puerto Rico 2014.

ContratoDe igual forma yo desconozco si le dí autorización a Chevrolet para recoger todos estos datos de mi carro (seguramente debe estar entre la letra chiquita de todos esos papeles que le ponen a firmar a uno y que nunca leemos), lo que si sé, es que al no poner las medidas de seguridad mínimas para impedir que cualquier persona acceda a esta información se están incumpliendo los siguientes principios de la ley colombiana 1581 de octubre 2012 sobre protección de datos personales:

  • (F) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;
  • (G) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
  • (H) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

Está claro que no se tiene nigun cuidado con nuestros datos y se expone información tan personale, como nuestro nombre completo, nuestro correo electronico, la placa de nuestro carro y hasta el numero celular al cual nos pueden llamar.

Espero que esta nota sirva para concienciar acerca del manejo de nuestros datos personales, ser más prudentes a la hora de proporcionarlos y nunca debe faltar la recomendaión que todo el mundo hace pero que nadia aplica, leer la letra menuda del contrato.

PD. Si algún lector tiene un vehiculo Chevrolet con el sistema CheviStar activo y quiere colaborar con una investigación que se esta realizando, por favor enviar un mail a contacto (arroba) dragonjar.org

DragonJAR Security Conference 2014 - CFP
Subir