Die indische Tochtergesellschaft von Hyundai hat einen Fehler behoben, durch den die persönlichen Daten ihrer Kunden auf dem südasiatischen Markt offengelegt wurden.
Tech überprüfte einen Teil der offengelegten Daten, darunter den registrierten Besitzernamen, die Postanschrift, die E-Mail-Adresse und die Telefonnummer von Kunden von Hyundai Motor India, die ihre Fahrzeuge an autorisierten Servicestationen eines Unternehmens in ganz Indien gewartet haben. Der Fehler enthüllte auch Fahrzeugdetails, einschließlich Kennzeichen, Farbe, Motornummer und zurückgelegter Kilometerzahl.
In einem Telefongespräch am Donnerstag sagte Siddhartha P. Saikia, Sprecher von Hyundai Motor India, dass das Unternehmen eine Stellungnahme abgeben werde. Bei der Weitergabe per E-Mail hieß es in der Erklärung:
„Wir wissen, wie wichtig es ist, die Daten unserer Kunden zu schützen, und sind daher bestrebt, robuste Systeme und Prozesse zu schaffen. Darüber hinaus werden diese Systeme regelmäßig überprüft und je nach Bedarf aktualisiert. Der Link „Reparaturauftrag/Rechnung“ wird nur auf der vom Kunden registrierten Mobiltelefonnummer weitergegeben, sobald er sich für den Erhalt solcher Aktualisierungen entschieden hat. Dabei handelt es sich um systemgenerierte Links ohne jegliches menschliches Zutun. Hyundai versichert, dass wir uns weiterhin bemühen werden, die Interessen der Kunden zu wahren.“
Hyundai Motor India beantwortete keine Fragen dazu, ob das Unternehmen über die technischen Mittel, wie z. B. Protokolle, verfügt, um einen unzulässigen Zugriff auf die Daten eines Kunden festzustellen, und das Unternehmen wollte auch nicht sagen, ob das Problem von böswilligen Akteuren ausgenutzt wurde.
Der Sicherheitsforscher Ashutosh, der lieber nicht vollständig genannt werden möchte, teilte Tech die Details zu dem einfachen Fehler mit. Durch den Fehler wurden die persönlichen Daten des Kunden über die Weblinks offengelegt, die Hyundai Motor India über WhatsApp an Kunden weitergab, nachdem sie ihre Fahrzeuge zur Wartung an einer autorisierten Servicestation erhalten hatten.
Die Weblinks, die Kunden zu den Reparaturaufträgen und Rechnungen in PDF-Dateien weiterleiteten, enthielten die Telefonnummer des Kunden. Ein böswilliger Akteur könnte die Informationen anderer Kunden preisgeben, indem er die Telefonnummer im Link ändert.
Tech bestätigte die Ergebnisse des Forschers und schickte am 29. Dezember eine E-Mail an Hyundai Motor India. Das Unternehmen antwortete am 4. Januar. Tech teilte Hyundai Motor India am selben Tag die Details des Fehlers mit und forderte Hyundai Motor India auf, den Fehler innerhalb von sieben Tagen zu beheben seine Einfachheit und Strenge. Hyundai Motor India hat den Fehler am Donnerstag behoben.
Nach Erhalt der Antwort des Unternehmens bestätigte Tech, dass der Fehler behoben wurde und die betreffenden Links nicht mehr aktiv waren – sie wurden auf eine Seite mit einer Fehlermeldung weitergeleitet.
Hyundai Motor India wurde 1996 gegründet und gehört neben Maruti Suzuki und Tata Motors zu den drei größten Automobilherstellern des Landes. Hyundai Motor India verfügt über ein Netzwerk von über 1.500 Tankstellen im Land. Im Mai kündigte der Automobilhersteller eine Investition von 2,45 Milliarden US-Dollar (200 Milliarden indische Rupien) in den nächsten zehn Jahren im südindischen Bundesstaat Tamil Nadu an, um seine Pläne für Elektrofahrzeuge voranzutreiben.