Compras de automóviles afectadas por la pandemia: solo use la API del fabricante - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Compras de automóviles afectadas por la pandemia: solo use la API del fabricante

Hola, un placer verte por aquí. En el teclado Eduardo Arroyo y en esta ocasión te voy a hablar sobre Compras de automóviles afectadas por la pandemia: solo use la API del fabricante


InfoSec Insider

Compras de automóviles afectadas por la pandemia: solo use la API del fabricante

Jason Kent, un pirata informático que reside en Cequence, ha encontrado una manera de aprovechar una API de Toyota para evitar la molestia de comprar automóviles en la era de los problemas de la cadena de suministro.

La pandemia ha causado enormes interrupciones en la cadena de suministro para una amplia variedad de sectores. Una de las principales áreas que sienten los problemas globales es la industria automotriz. Afortunadamente, encontré una manera de aprovechar la API de un fabricante para minimizar mi frustración.

Primero, algunos antecedentes: muchos puntos de venta han informado ampliamente que los fabricantes están juntando el 99% de un vehículo, estacionándolo en un lote en algún lugar y asumiendo que las partes faltantes, como chips de computadora, pronto estarán disponibles y en stock. los motores funcionan para que los vehículos puedan venderse. En un viaje por carretera reciente, pasé por la fábrica de F150 y vi el enorme estacionamiento del Kentucky Speedway, lleno de camiones nuevos de fábrica que no arrancan y no se pueden vender.

Mi Tacoma 2015 está llegando al punto en que quiero tomar la decisión de terminar de configurarla para acampar o cambiarla y comprar una más nueva para prepararla para acampar. Y así, me encuentro tratando de encontrar una nueva Tacoma, en medio de la interrupción del suministro inducida por la pandemia. Los problemas rápidamente se volvieron irritantes cuando comencé mi investigación:

    1. Los sitios web de los concesionarios pueden haber tenido un inventario preciso hace tres años, pero ahora no vale la pena mirarlos;
    2. Los autos que están en el sitio se vendieron hace dos días y los autos que llegaron ayer al concesionario aún no están en el sitio. Este retraso significa que no hay forma de ver lo que tiene el crupier.

Navegando a través de varios sitios web de concesionarios encontré un enlace, enterrado en la página, que le permite ver una calcomanía de ventana de vehículo «disponible». Incluido en la etiqueta es el destino. Si miro la URL de la página en la que se genera la etiqueta de la ventana, así parece:

Entonces, en lugar de navegar tediosamente en sitios web de revendedores para ver información inexacta, me volví para extraer los datos de la API del fabricante que había encontrado, para ver qué se está construyendo y dónde puedo comprarlo.

Encuentra el camión perfecto

El gran grupo de números después de «vehículos» es el VIN de un camión que me interesa. El comienzo del VIN es el fabricante y el modelo, y la parte numérica al final es el número de serie del vehículo. En mi investigación, intenté ingresar solo el siguiente número más alto y eso no funcionó. 3TMDZ5BN6NM122106 no me consiguió el mismo vehículo que se creó más tarde, no me consiguió nada. Esto significó que tuve que recurrir a herramientas para descubrir cómo encontrar mi próximo viaje. Probablemente hubiera sido necesario cargar esta solicitud en BURP (un proxy de intercepción que me permite manipular solicitudes a servidores web) e iterar a través de lotes grandes.

Configuré solicitudes para desplazarme por los últimos cuatro dígitos del VIN, encontré algunos vehículos que podía ver y me comuniqué con los concesionarios con respecto a la disponibilidad. Si hago esto con suficiente frecuencia, puedo ver los vehículos que se han creado hoy y contactar a los concesionarios que aún no están en tránsito.

Separar las comunicaciones web, notar los patrones en las solicitudes que se realizan y finalmente comprender cómo funciona la estructura es lo que hago para ganarme la vida. No es realista esperar que el comprador promedio de automóviles comience a escribir robots para descubrir cómo encontrar su próximo vehículo. Pero una expectativa más realista es que el fabricante de automóviles pasará un poco más de tiempo utilizando la tecnología que ya ha construido (una base de datos, un conjunto de API, una presencia en la web) para proporcionar a los consumidores una fuente de información precisa.

¿Defecto explotable o información pública?

¿Hay alguna falla de seguridad aquí? Esta es una pregunta «depende». La API expuesta es completamente pública. La forma en que se usa una API es para solicitar algo a través de parámetros de consulta simples. Esta API parece ser muy simplista. Parece que esta API se creó para separar el tráfico del resto de los sistemas de inventario y para permitir que alguien, tal vez un distribuidor, eche un vistazo rápido a un vehículo construido, ¿tal vez para un comprador como yo? Desde el punto de vista de la estrategia y el diseño de aplicaciones, Toyota lo está haciendo muy bien aquí. Mantener su propiedad a salvo de alguien que intente atacar significa mantener las cosas bien segregadas y controladas.

La siguiente pregunta es si podría explotarse. Absolutamente. Comprender el inventario y la disponibilidad es un requisito previo para la creación de inventario, la rotación de asientos y los robots de compras (también conocidos como «bots grinch»). Por ahora, supongamos que se utiliza para proporcionar una vista previa de los próximos vehículos con la esperanza de que Toyota tome medidas para utilizar lo que tiene para mejorar la experiencia de compra.

Mientras tanto, me voy a otro estado a comprar un camión nuevo.

.

Puedes compartir en tu Facebook para que tus amigos opinen

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *