Cuando Dan no pudo publicar en el foro de Tesla sobre su experiencia como cliente, llamó al servicio de atención al cliente. Pero entonces le dieron mucho más de lo que esperaba.
Por lo general, cuando alguien se hace cargo de un sitio web, es gracias a alguna ingeniería social o vulnerabilidad en el sitio web. Sin embargo, no es así en absoluto como ocurrió un reciente deslizamiento de Tesla.
En su lugar, Tesla accidentalmente le otorgó a un cliente un control aleatorio sobre sus foros oficiales cuando el cliente se quejó de la demora en la entrega del vehículo de Tesla. Ese acceso permitió al cliente la posibilidad de editar o eliminar las publicaciones de cualquier otra persona, así como ver la información de contacto de los 1,5 millones de usuarios del foro.
“Al cliente se le concedió inadvertidamente un nivel de permisos más alto del que debería haber tenido en el foro de Tesla”, dijo un portavoz de Tesla a Motherboard en un correo electrónico el lunes. “Revocamos el acceso tan pronto como se informó, e hicimos otros cambios para ajustar los privilegios en consecuencia después de una auditoría completa”.
Esta extraña historia comienza con Dan, el CEO del sitio web de viajes DansDeals.com, quien recientemente publicó en el foro de los propietarios de Tesla sobre algunos de los problemas de entrega de su auto. Curiosamente, cuando Dan intentó editar la publicación, el hilo desapareció por completo, según una publicación del blog que Dan publicó el fin de semana. Resultó que Dan no tenía una cuenta de “propietarios”, y solo podía hacer un hilo en el foro por día. Se contactó con atención al cliente para resolver el problema.
“Así que llamé a Tesla y le pedí al agente que me incluyera como propietario en los foros de Tesla”, escribió Dan. “El agente no tenía idea de lo que significaba ‘foros’. Les expliqué que estaban en Tesla.com, pero, efectivamente, no hay un enlace en el sitio de Tesla a los foros. Le dije que escribiera forums.tesla.com y el agente dijo que transmitiría mi solicitud a su departamento de TI “.
El departamento de TI, al parecer, puede haber tomado la solicitud un poco demasiado literalmente.
Poco después, Dan se dio cuenta de que “¡tenía la capacidad de editar y eliminar las publicaciones de todos! Luego miré la parte superior de la página y noté la barra de administración. Algo muy extraño estaba ocurriendo aquí ”, continúa su publicación.
“Pero esto era mucho más grande que eso. “Hice clic en la opción Gente y pude ver la información de contacto de más de 1,5 millones de titulares de cuentas”, agrega Dan. Incluso pudo buscar personas particulares y encontró vecinos y amigos con Teslas, afirma Dan. Él cree que encontró la propia cuenta de Elon Musk, que inició sesión hace unos tres años y medio.
“Claramente él prefiere Twitter”, escribió Dan. En un momento dado, Dan retiró accidentalmente miles de hilos cuando lo volvió a publicar, y luego, sin publicar, su hilo pícaro que había iniciado la serie de eventos en primer lugar.
Dan también encontró varias direcciones de correo electrónico personales que no pertenecen a Tesla vinculadas a cuentas con altos privilegios en todo el foro. Tesla le dijo a Motherboard que estos eran ex empleados. Tesla dijo que ahora ha degradado esas cuentas.
Tesla le pidió a Dan que presentara el problema de manera más formal a través del programa de recompensas de errores de la compañía. La presentación aún se está procesando, según la publicación de Dan.
“Nuestro programa de recompensas de errores está configurado específicamente para fomentar este tipo de informes, así como una investigación más profunda de la comunidad de seguridad”, dijo el portavoz a Motherboard.
