Новости Сайт Ford сливал данных о клиентах и сотрудниках компании

  • Автор темы GLOV
  • Дата начала

GLOV

Опытный
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
20/5/18
Сообщения
1.158
Репутация
536
Реакции
1.634
RUB
2.000
Депозит
56 072 рублей
Сделок через гаранта
29
Арбитражи
1
bhNVw3x.png
Издание Bleeping Computer сообщает, что баг на сайте Ford Motor Company позволял получить доступ к внутренним системам компании и конфиденциальным данным, включая базы данных клиентов, информацию о сотрудниках, внутренние заявки и так далее. По сути, проблема позволяла осуществлять полный захват чужих аккаунтов.
Уязвимость, которая получила идентификатор CVE-2021-27653, была обнаружена ИБ-специалистами Робертом Уиллисом и break3r, при поддержке этической хак-группы Sakura Samurai.

Корень проблемы крылся в неправильно настроенных экземплярах системы Pega Infinity. Чтобы воспользоваться багом, злоумышленник должен был получить доступ к серверной веб-панели Pega Chat Access Group. Различные пейлоады в виде аргументов URL позволяли выполнять запросы, извлекать таблицы баз данных, токены доступа OAuth и выполнять административные действия.
gLB7VId.png

Исследователи предоставили журналистам скриншоты внутренних систем и баз данных Ford, и рассказали, что обнаружили множество конфиденциальных данных, в том числе:
  • данные клиентов и сотрудников;
  • номера финансовых счетов;
  • имена баз данных и таблиц;
  • токены доступа OAuth;
  • тикеты внутренней поддержки (на скриншоте выше);
  • пользовательские профили внутри организации;
  • внутренние интерфейсы;
  • историю поиска.
Еще в феврале 2021 года исследователи сообщили разработчикам Pega о своих выводах, а те довольно быстро устранили найденный баг. Примерно в это же время об уязвимости уведомили и представителей Ford (через HackeroOne), однако связь с компанией вскоре прервалась.
«В какой-то момент они просто перестали отвечать на наши вопросы. Потребовалось посредничество HackerOne, чтобы получить ответ хотя бы на наше изначальное сообщение об уязвимости, — рассказывает участник Sakura Samurai Джон Джексон. — Когда уязвимость была отмечена как исправленная, Ford проигнорировал наш запрос на раскрытие информации. В соответствии с правилами HackerOne, нам пришлось ждать полные шесть месяцев, чтобы принудительно раскрыть информацию [об уязвимости], так как мы опасались юридического преследования и негативных последствий».
Интересно, что bug bounty программа Ford не предлагает ИБ-специалистам никаких денежных стимулов и вознаграждений, поэтому эксперты рассчитывали только скоординированное и полное раскрытие информации о проблеме. Однако в итоге представители Ford воздержались даже от комментариев по поводу конкретных действий, которые они предприняли для улучшения безопасности.
Пока неизвестно, успели ли злоумышленники обнаружить эту уязвимость раньше экспертов, и попала ли конфиденциальная информация о клиентах и сотрудниках компании в руки третьих лиц. Представители Ford проигнорировали все вопросы журналистов.
 
Сверху Снизу