A finales de mayo, y considerando que mi contrato terminaba a mediados de junio, ingresé al sitio web de Sherloc, la empresa que me obligaron a contratar cuando compré mi vehículo. En este portal se puede ver la localización del vehículo, además de datos como número de placa, motor, chasis, modelo, marca, color y otros detalles relevantes del vehículo.
Cuando contraté este servicio, se me proporcionó un usuario compuesto de 6 dígitos. Al ingresar al portal de clientes, noté que este número asignado como usuario estaba como parámetro en la URL de la aplicación. La curiosidad me llevó a cambiar el dígito final de este parámetro varias veces, y descubrí que podía acceder a la localización de otros vehículos que obviamente no me pertenecen. Además de la localización, se pueden ver los datos mencionados anteriormente.
En la imagen se puede ver la aplicación que permite localizar un vehículo. En el óvalo se muestra el código de seis dígitos asignado a cada cliente para el acceso. Solo cambiando este código se puede ver la localización de otros vehículos. También se muestran la cédula (ID Cliente), nombres completos, marca, modelo, color, placa, chasis y motor. Aclaro que los datos confidenciales en las imágenes fueron borrados. 
En la imagen se puede ver la ubicación de un vehículo con un contrato "GOLDEN". De la misma manera, muestra todos los datos del cliente y su vehículo, incluyendo la ubicación. Solo se necesita cambiar el parámetro "varEQgeCodigoE".
Otra imagen, otro vehículo, otro cliente con privacidad cero.
Con la curiosidad que me invadió, quise hacer una última prueba para ver si era posible hacer un fuzz del URL y capturar la respuesta para posteriormente tener un listado de los usuarios habilitados. Para mi sorpresa, en la respuesta de la aplicación viajaban datos como la cédula del usuario y el nombre. Con la ayuda de un script (que no elaboré), se podría generar un listado de todos los usuarios, relacionados con las cédulas y nombres en cuestión de minutos.
Una vez que comprobé esta falla, redacté una carta de queja hacia la empresa SHERLOC. Lamentablemente, hasta el día de hoy no he recibido una respuesta de la empresa informando que el fallo fue corregido.
Es bastante preocupante que empresas de "seguridad" no tengan seguridad en sus aplicaciones y que solo les importe que se cancele anualmente casi 400 dólares por un servicio que, en lugar de dar protección a sus clientes, puede servir para planificar robos, secuestros, falsificaciones y otros actos delictivos.