Esta historia no es nueva, pero en ocasiones es necesario comprender que no todos los Hackers se dedican hacer el mal o infligir daño a las empresas o corporaciones a las que logran obtener acceso, siendo éstas historias de las que casi nadie habla.
Hace tres años atrás, específicamente 2017, un hacker logró exponer las vulnerabilidades de los servidores de la compañía Tesla Inc. (antes Tesla Motors), propiedad del multimillonario Elon Musk, logrando así obtener acceso y control sobre toda la flota del fabricante de autos.
Afortunadamente, para la empresa fue un hacker que no buscó hacer el mal, ni hacer dinero fácil con este ataque y que demostró, con este hecho, la importancia de cuidar a detalle este tipo de vulnerabilidades.
Jason Hughes, es el nombre del hacker que antes de hacer su no requerida incursión en la red de Tesla, ya era conocido en los ambientes de la empresa bajo su alias WK057 en los foros, en Internet por dedicarse a trastear y recuperar piezas de vehículos Tesla usados.
Musk dio a conocer lo sucedido en su momento, durante una conferencia en Rhode Island, sin embargo es no fue sino hasta el mes pasado que salieron a la luz pública las declaraciones Hughes, quien pudo vulnerar la seguridad de Tesla, con tan solo enviar varios mensajes de errores hacia sus sistemas
En declaraciones que le fueron hechas al sitio web Electrek, Hughes explicó: “Encontré un agujero en el lado del servidor de ese mecanismo que me permitió básicamente obtener datos para cada Supercharger en todo el mundo una vez cada pocos minutos”.
Este hecho, pone sobre la mesa un evento que no se debería pasar por alto dado el grave problema de seguridad, tanto para los usuarios de automóviles eléctricos como para el resto de viandantes, lo cual supone la vulnerabilidad del software.
Sin embargo aunque era esta, precisamente uno de los grandes temores de la plataforma, la posible vulnerabilidad de sus sistemas a los ataques, y sabiendo que su red no era la más segura decidió buscar recompensas por errores en lugar de hacerse con el control de los sistemas.
La práctica de Hughes, es conocida como piratería de White Hat “sombrero blanco”, que aunque no era su objetivo principal, sabía que podía ser recompensada porque la mayoría de las empresas de tecnología, poseen un “sistema de informes de errores” que recompensa a las personas que encuentran y reportan vulnerabilidades, algo que también hace Tesla.
Hughes, ocasionalmente reportaba los errores a través de ese sistema, hasta que compartió los datos en el foro de la comunidad de Tesla Motors Club, algo con lo que el fabricante de automóviles aparentemente no estuvo de acuerdo.
Según la investigación de Electrek, el hacker recibió una respuesta anónima en dicho foro, de alguien que parecía estar trabajando en Tesla, quién publicó que no deseaban que los datos estuvieran disponibles en un foro público.
Esto permitió que Hughes estuviera 20 minutos más tarde, en una conferencia telefónica con el jefe de la red Supercharger y el jefe de seguridad de software de Tesla, en donde le explicaron que preferirían que no compartiera los datos, por los que técnicamente eran accesibles a través de los vehículos, algo en lo que Hughes estuvo de acuerdo.
Obviamente, Hughes recibió una recompensa de $5,000 dólares por exponer las vulnerabilidades encontradas, las cuales había informado a través del servicio de informes de errores de Tesla. Lo que indudablemente le llevó a decidir el buscar más recompensas por errores.
Luego de trastear un poco, logró encontrar un montón de pequeñas vulnerabilidades, y le comentó a Electrek: “Me di cuenta de que algunas de estas cosas podrían encadenarse juntas, el término oficial es una cadena de errores, para obtener más acceso a otras cosas en su red. Finalmente, logré acceder a una especie de repositorio de imágenes del servidor en su red, una de las cuales era ‘Mothership’ ”.
De acuerdo con la versión publicada en el reportaje de Hughes, Mothership es el nombre del servidor doméstico de Tesla que se utiliza para comunicarse con su flota de clientes, por lo que cualquier tipo de comando remoto o información de diagnóstico desde el automóvil a Tesla pasa por este servidor.
Luego de analizar los datos, Hughes comenzó a usar la conexión VPN de su automóvil para atacar a Mothership, donde al final consiguió conectarse con la red del desarrollador y fue allí cuando encontró un error en el servidor Mothership que le permitió autenticarse como si viniera de cualquier automóvil de la flota de Tesla.
A partir de ese punto, sólo necesitaba el número de VIN de un vehículo, para tener acceso a todos los autos Tesla a través de la base de datos «tesladex» y con ello tener control completo sobre cualquier automóvil de la flota e incluso enviar comandos a esos automóviles.
Al final, Hughes pudo colaborar con Tesla para corregir estos errores aunque se desconoce si todavía sigue apoyando a la empresa en esta labor de seguridad informática, la actuación de Hughes, es un buen ejemplo de la importancia de tener como aliados a hackers de sombrero blanco.
BlockTrendy Exclusión de Responsabilidad: BlockTrendy invita a los lectores a hacer su propia investigación antes de tomar por ciertas o verdaderas las noticias que usted reciba de nuestro sitio o de algún otro, en consecuencia, BlockTrendy, no es responsable, directa o indirectamente, de cualquier decisión, daño o pérdida causada o supuestamente causada por o en conexión con la noticia que usted ha leído aquí. Se entiende expresamente que esta nota se ha realizado con fines informativos únicamente. – BlockTrendy Disclaimer: BlockTrendy invites readers to do their own research before taking the news you receive from our site or from someone else to be true or correct, therefore BlockTrendy is not responsible, directly or indirectly, for any decision, damage or loss caused or allegedly caused by or in connection with the news that you have read here. It is expressly understood that this note has been made for informational purposes only. –
0 Comments