福特汽车专有数据或被泄露

近日,福特汽车被曝存在一个较为严重的安全漏洞,黑客可通过该漏洞访问其配置错误的Pega Infinity系统,从而获取包括客户数据库、员工记录、内部票证等在内的专有数据信息。黑客还可以借此执行账户接管操作。

从数据泄露到账户接管

该漏洞由Robert Willis 和 break3r发现, 并得到了Sakura Samurai组织成员Aubrey Cottle、Jackson Henry和John Jackson的进一步验证和支持 。

该问题是由CVE-2021-27653漏洞引起的,它是一个信息泄露漏洞,存在于福特公司配置不当的Pega Infinity客户管理系统中。研究人员分享了该系统和数据库的许多截图。例如,该公司的票务系统如下图所示:

福特的内部票务系统

要利用该漏洞,攻击者首先必须访问配置错误的Pega Chat Access Group用户的后端Web面板:

作为URL参数提供的不同负载可能使攻击者能够运行查询、检索数据库表、获取OAuth访问令牌和执行管理操作。

研究人员表示,泄露的数据资产包含敏感的个人身份信息:

  • 客户和员工记录
  • 财务账号
  • 数据库名称和表
  • OAuth访问令牌
  • 内部支持票
  • 组织内的用户个人资料
  • 脉冲动作
  • 内部接口
  • 搜索栏历史

耗时六个月才被披露

早在2021年2月,研究人员就向Pega报告了他们的发现,并尽快地修复了聊天门户中的CVE漏洞。大约在同一时间,这个问题也通过他们的HackerOne漏洞披露计划报告给了福特。

Jackson表示,随着披露时间表的进一步推进,研究人员在发布有关该漏洞的推文后收到了HackerOne的回复,但没有提供任何敏感细节:

研究人员等待了六个月后才得到了该漏洞的披露详情。目前,福特的漏洞披露计划不提供金钱激励或漏洞奖励,因此根据公共利益进行协调披露是研究人员希望的唯一“奖励”。

目前,福特并没有对本次事件的特定安全相关行为发表评论。虽然福特宣称在接到报告后24小时内关闭了端点,但研究人员指出,他们在福特宣称关闭了端点之后发现此端点仍可访问,并要求福特再次审查并采取缓解措施。

目前尚不清楚是否有任何攻击者利用该漏洞破坏福特的系统,或者是否访问了客户或福特员工的个人身份信息。

参考资料

来源:安全牛

上一篇:实现多云环境下的IT资产集中管控

下一篇:Poly Network为肇事黑客谋公差,封官授爵还是请君入瓮?