Ошибка Ford раскрыла записи о клиентах и ​​сотрудниках из внутренних систем

40
Лидер сената Бразилии отменил декрет Болсонару, подвергшийся критике со стороны технологических компаний

Ошибка на веб-сайте Ford Motor Company позволила получить доступ к конфиденциальным системам и получить конфиденциальные данные, такие как базы данных клиентов, записи сотрудников, внутренние заявки и т. Д.

Открытие данных произошло из-за неправильно настроенного экземпляра системы взаимодействия с клиентами Pega Infinity, работающей на серверах Ford.

От кражи данных до захвата аккаунтов

На этой неделе исследователи раскрыли обнаруженную на веб-сайте Ford уязвимость, которая позволяет им просматривать конфиденциальные записи компаний, базы данных и осуществлять захват аккаунтов.

Уязвимость была обнаружена Робертом Уиллисом и break3r при дальнейшей проверке и поддержке со стороны членов этической хакерской группы Sakura Samurai – Обри Коттла , Джексона Генри и Джона Джексона .

Проблема вызвана CVE-2021-27653, уязвимостью, раскрывающей информацию в неправильно настроенных экземплярах системы управления клиентами Pega Infinity.

Чтобы воспользоваться этой проблемой, злоумышленник сначала должен получить доступ к серверной веб-панели неправильно настроенного экземпляра портала Pega Chat Access Group:

https://www.rpa-pega1.ford.com/prweb/PRChat/app/RPACHAT_4089/bD8qH******bIw4Prb*/!RPACHAT/$STANDARD…

Различные полезные данные, предоставляемые в качестве аргументов URL, могут позволить злоумышленникам выполнять запросы, извлекать таблицы базы данных, токены доступа OAuth и выполнять административные действия.

Исследователи заявляют, что некоторые из обнаруженных активов содержали конфиденциальную личную информацию (PII), в том числе:

  • Записи клиентов и сотрудников
  • Номера финансовых счетов
  • Имена баз данных и таблицы
  • Токены доступа OAuth
  • Тикеты внутренней поддержки
  • Профили пользователей внутри организации
  • Импульсные действия
  • Внутренние интерфейсы
  • История панели поиска

«Воздействие было масштабным. Злоумышленники могли использовать уязвимости, обнаруженные в неработающем контроле доступа, и получить множество конфиденциальных записей, осуществить захват учетных записей и получить значительный объем данных», – пишет Уиллис.

В феврале 2021 года исследователи сообщили Pega о своих выводах, которые относительно быстро устранили CVE в их чат-портале.

Примерно в то же время о проблеме было сообщено Ford через программу раскрытия уязвимостей HackerOne.

Но исследователи сказали BleepingComputer, что связь с Ford была тонкой и исчезла по мере продвижения графика ответственного раскрытия информации:

«В какой-то момент они полностью перестали отвечать на наши вопросы. Потребовалось посредничество HackerOne, чтобы получить первоначальный ответ на наше сообщение об уязвимости от Ford», – сказал Джон Джексон BleepingComputer в интервью по электронной почте.

«Когда уязвимость была помечена как устраненная, Ford проигнорировал наш запрос на раскрытие информации. Впоследствии посредничество HackerOne проигнорировало наш запрос о помощи в раскрытии информации, который можно увидеть в PDF-файле».

«Нам пришлось ждать полные шесть месяцев, чтобы принудительно раскрыть информацию в соответствии с политикой HackerOne, из-за страха перед законом и негативными последствиями», – продолжил Джексон.

В то время программа Ford по раскрытию уязвимостей не предлагает денежных стимулов или вознаграждений за ошибки, поэтому скоординированное раскрытие информации в свете общественных интересов было единственной «наградой», на которую надеялись исследователи.

Копия отчета о раскрытии информации, предоставленная BleepingComputer, указывает на то, что Ford воздержался от комментариев по поводу конкретных действий, связанных с безопасностью.

«Представленные вами результаты … считаются конфиденциальными. Эти отчеты об уязвимостях предназначены для предотвращения компрометации, которая может потребовать раскрытия информации».

«В этом сценарии система была отключена вскоре после того, как вы отправили свои результаты в HackerOne», – поделился Форд с HackerOne и исследователями, согласно обсуждению в PDF.

Хотя конечные точки были отключены компанией Ford в течение 24 часов после отчета, исследователи в том же отчете отмечают, что конечные точки оставались доступными даже после этого, и запросили еще одну проверку и исправление.

Пока неизвестно, использовали ли какие-либо злоумышленники эту уязвимость для взлома систем в Ford, или был ли получен доступ к конфиденциальной PII клиента / сотрудника.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here