Toyota'nın Global Tedarikçi Hazırlık Bilgi Yönetim Sistemi (GSPIMS), konuyu sorumlu bir şekilde şirkete bildiren bir güvenlik araştırmacısı tarafından ihlal edildi.
GSPIMS, çalışanların ve tedarikçilerin firmanın küresel tedarik zincirini uzaktan giriş yapmasına ve yönetmesine olanak tanıyan otomobil üreticisinin web uygulamasıdır.
Eatonworks takma adı altında yayınlayan güvenlik araştırmacısı, Toyota'nın sisteminde e -postalarını bildiği sürece herkesin mevcut bir kullanıcı hesabına erişmesine izin veren bir "arka kapı" keşfetti.
Bir test girişinde, araştırmacı binlerce gizli belgeye, iç projeye, tedarikçi bilgilerine ve daha fazlasına özgürce erişebileceğini buldu.
Sorunlar 3 Kasım 2022'de Toyota'ya sorumlu bir şekilde açıklandı ve Japon otomobil üreticisi 23 Kasım 2022'ye kadar düzeltildiklerini doğruladı.
Eaton Works, 90 günlük açıklama süreci geçtikten sonra bugün keşifler hakkında ayrıntılı bir yazı yayınladı.
Toyota, araştırmacıyı keşfedilen güvenlik açıklarını sorumlu bir şekilde ifşa ettiği için telafi etmedi.
Toyota'nın GSPIMS uygulaması, açısal JavaScript çerçevesi üzerine inşa edilmiştir ve hangi kullanıcıların hangi sayfalara erişebileceğini belirlemek için belirli yollar ve işlevler kullanmıştır.
Araştırmacı, bu işlevler için JavaScript'i "gerçek" değerleri döndürmeleri için değiştirerek uygulamaya erişimin kilidini açabileceğini buldu.
Ancak, uygulama artık yüklenirken, araştırmacı uygulamaya doğrulanmadığı için herhangi bir veri görüntülemez.
Analist kısa bir süre sonra hizmetin, kullanıcının e-posta adresine göre şifresiz giriş için bir JSON Web Jeton (JWT) ürettiğini keşfetti. Bu nedenle, birisi bir Toyota çalışanının geçerli bir e -posta adresini tahmin edebiliyorsa, geçerli bir JWT oluşturabilir.
Toyota çalışanlarını veya LinkedIn'de OSINT gerçekleştirmek, bir e -posta adresi bulmak veya formüle etmek için yeterli olacaktır, bu da araştırmacının izinsiz giriş için aldığı yol olan, bölgesel bir yönetici hesabı bulur.
Oradan EatonWorks, sistemin API'sındaki bir bilgi açıklama kusurunu kullanarak bir sistem yöneticisi hesabına çıktı. Bundan sonra, araştırmacı bir Sysadmin'in e -posta adresini bularak ve kullanarak daha ayrıcalıklı bir hesaba geçti.
GSPIMS üzerindeki bir sistem yöneticisi, 14.000 kullanıcı için sınıflandırılmış belgeler, proje programları, tedarikçi sıralamaları ve kullanıcı verileri gibi hassas bilgilere erişebilir.
Her biri için yönetici projelerine, görevlerine ve anketlerine erişebilir, kullanıcı ayrıntılarını değiştirebilir, verileri değiştirebilir veya silebilir, gereksiz arka kapı kullanıcıları ekleyebilir veya hedeflenen bir kimlik avı kampanyası için zemin hazırlayabilir.
Bu saldırının en kötü yönü, kötü niyetli bir aktörün Toyota'nın sistemine sessizce erişebileceği ve daha sonra hiçbir şey değiştirmeden verileri kopyalayabilmesi ve keşif olasılığını çok düşük tutmasıdır.
Böyle bir şeyin daha önce olup olmadığını belirlemek imkansızdır, ancak büyük bir Toyota veri sızıntısı yoktur, bu nedenle Eatonworks'ün giriş baypası kusurunu ilk bulan olduğu varsayılmaktadır.
Bu açıklama, geçen yıl keşfedilen bir dizi ihlal, veri sızıntısı ve diğer güvenlik açıklarından sonra geliyor.
Şubat 2022'de Japon otomobil üreticisi, tedarikçilerinden biri olan Kojima Industries'e bir siber saldırı nedeniyle otomobil üretim operasyonlarını durdurmak zorunda kaldığını açıkladı.
Ekim 2022'de Toyota müşterileri, markanın resmi bağlantı uygulaması olan Toyota T-Connect'i geliştiren bir yüklenicinin, müşteri verilerini kamuya açık bir şekilde açıklayan bir GitHub deposunu bıraktıktan sonra veri ihlali yaşadı.
Ocak 2023'te bir güvenlik araştırmacısı, Toyota da dahil olmak üzere birçok otomobil üreticisini etkileyen birden fazla API güvenlik kusurunun ayrıntılarını yayınladı.
Android ve iOS sızdırılmış e -posta adresleri, işlemler için para aşığı
JD Sports, bilgisayar korsanlarının 10 milyon müşterinin verilerini çaldığını söylüyor
Toyota, Mercedes, BMW API Kusurlu Sahiplerin Kişisel Bilgileri
200 milyon Twitter kullanıcısının e -posta adreslerinin çevrimiçi sızdırıldığı iddia edildi
Hacker, 400 milyon kullanıcının Twitter verilerini sattığını iddia ediyor
Kaynak: Bleeping Computer