福特汽車專有數據或被泄露
責編:gltian |2021-08-24 10:56:34近日,福特汽車被曝存在一個較為嚴重的安全漏洞,黑客可通過該漏洞訪問其配置錯誤的Pega Infinity系統,從而獲取包括客戶數據庫、員工記錄、內部票證等在內的專有數據信息。黑客還可以借此執行賬戶接管操作。
從數據泄露到賬戶接管
該漏洞由Robert Willis 和 break3r發現,?并得到了Sakura Samurai組織成員Aubrey Cottle、Jackson Henry和John Jackson的進一步驗證和支持?。
該問題是由CVE-2021-27653漏洞引起的,它是一個信息泄露漏洞,存在于福特公司配置不當的Pega Infinity客戶管理系統中。研究人員分享了該系統和數據庫的許多截圖。例如,該公司的票務系統如下圖所示:
福特的內部票務系統
要利用該漏洞,攻擊者首先必須訪問配置錯誤的Pega Chat Access Group用戶的后端Web面板:
作為URL參數提供的不同負載可能使攻擊者能夠運行查詢、檢索數據庫表、獲取OAuth訪問令牌和執行管理操作。
研究人員表示,泄露的數據資產包含敏感的個人身份信息:
- 客戶和員工記錄
- 財務賬號
- 數據庫名稱和表
- OAuth訪問令牌
- 內部支持票
- 組織內的用戶個人資料
- 脈沖動作
- 內部接口
- 搜索欄歷史
耗時六個月才被披露
早在2021年2月,研究人員就向Pega報告了他們的發現,并盡快地修復了聊天門戶中的CVE漏洞。大約在同一時間,這個問題也通過他們的HackerOne漏洞披露計劃報告給了福特。
Jackson表示,隨著披露時間表的進一步推進,研究人員在發布有關該漏洞的推文后收到了HackerOne的回復,但沒有提供任何敏感細節:
研究人員等待了六個月后才得到了該漏洞的披露詳情。目前,福特的漏洞披露計劃不提供金錢激勵或漏洞獎勵,因此根據公共利益進行協調披露是研究人員希望的唯一“獎勵”。
目前,福特并沒有對本次事件的特定安全相關行為發表評論。雖然福特宣稱在接到報告后24小時內關閉了端點,但研究人員指出,他們在福特宣稱關閉了端點之后發現此端點仍可訪問,并要求福特再次審查并采取緩解措施。
目前尚不清楚是否有任何攻擊者利用該漏洞破壞福特的系統,或者是否訪問了客戶或福特員工的個人身份信息。
參考資料
來源:安全牛