Flüpke disse que descobriu o problema dos dados da VW combinando várias ferramentas de codificação, incluindo Subfinder, GoBuster e Spring. Usando essas ferramentas, Flüpke disse que conseguiu recuperar a maior parte de uma área dentro da VW que não estava protegida por senha. O heap dump lista vários objetos na Java Virtual Machine (JVM), que podem revelar informações sobre o uso da memória. Isso deve ser usado para monitorar métricas de desempenho e testes de autoavaliação.
Dentro desse dump estavam listadas, em texto simples, várias credenciais válidas da AWS. Quando Flüpke confrontou a VW sobre a descoberta dessas garantias, ele citou a empresa dizendo: “O acesso à informação ocorreu através de um processo complexo de múltiplas camadas”.
Embora isso seja verdade, disse Flüpke, e o back-end não seja destinado a usuários finais, mas sim usado para trocar tokens, “você pode usar um ID de usuário inválido para gerar um token JWT, que é um token de autenticação sem senha. Isso é útil porque você pode fornecer um ID de usuário e, de repente, você será o único usuário. Não podemos dirigir carros remotamente com isso, mas podemos autenticar com a API deste provedor de identidade e acessar os dados do usuário.
