Ford Motor şirketinin web sitesinde bir hata, hassas sistemlere erişmek ve müşteri veritabanı, çalışan kayıtları, iç biletler vb. Gibi özel veriler elde etmek için izin verdi.
Veri maruziyeti, Ford'un sunucularında çalışan yanlış yapılandırılmış bir PEGA Infinity Müşteri Nişan Sistemi örneğinden kaynaklanmaktadır.
Bu hafta, araştırmacılar, Ford'un web sitesinde, gizli şirket kayıtlarına, veritabanlarına ve hesap devralmalarını yapmalarına izin veren bir güvenlik açığı açıkladı.
Güvenlik açığı, Robert Willis ve Break3r tarafından keşfedildi, Sakura Samuray Etik Hacking Group-Aubrey Cottle, Jackson Henry ve John Jackson üyeleri tarafından sağlanan daha fazla doğrulama ve destek ile keşfedildi.
Sorun, CVE-2021-27653'ten kaynaklanır, uygunsuz olarak yapılandırılmış PEGA Infinity Müşteri Yönetim Sistemi Örneklerinde bir bilgi maruz kalma güvenlik açığı.
Araştırmacılar, Ford'un dahili sistemlerinin ve veritabanlarının birçok ekran görüntüsünü BleepingComputer ile paylaştı. Örneğin, şirketin bilet sistemi aşağıda gösterilmiştir:
Sorundan yararlanmak için, bir saldırgan önce yanlış yapılandırılmış bir PEGA sohbet erişim grubu portal örneğinin arka uç web paneline erişmek zorundadır:
BleepingComputer tarafından görüldüğü gibi, URL argümanları olarak sağlanan farklı yükler, saldırganların sorguları çalıştırmalarını, veritabanı tablolarını, OAuth erişim belirteçlerini almasını ve idari işlemleri gerçekleştirmesini sağlayabilir.
Araştırmacılar, maruz kalan varlıkların bazılarının hassas kişisel tanımlanabilir bilgiler (PII) ve dahil olduğunu belirtti:
"Etki ölçeğinde büyüktü. Saldırganlar, kırık erişim kontrolünde tanımlanan güvenlik açıklarını kullanabilir ve hassas kayıtların torbaları elde edebilir, hesap devralmalarını gerçekleştirir ve önemli miktarda veri elde edebilirler" dedi.
Şubat 2021'de araştırmacılar bulgularını, CVA'yı sohbet portalında nispeten hızlı bir şekilde düzelten PEGA'ya bildirmişlerdi.
Sorunun aynı zamanda Hackerone Güvenlik Açığı Bildirimi Programı ile aynı zamanda Ford'a bildirildi.
Ancak, araştırmacılar BleepingComputer'a Ford'tan iletişimin ince olduğunu ve sorumlu açıklama zaman çizelgesinin ilerlediği gibi solmuş olduğunu söyledi:
John Jackson, "Bir noktada, bir noktada sorularımızı cevaplamayı bıraktılar. John Jackson, BleepingComputer'a bir e-posta röportajında, BleepingComputer'ı söyledi." Dedi.
Jackson, açıklama zaman çizelgesi daha da ilerledikçe, araştırmacılar yalnızca Hackerone'dan geri döndükten sonra, ancak hassas bir detay vermeden:
İşte maruz kalan birçok şeyden bazıları: Müşteri Veritabanları, Çalışan Kayıtları, Dahili Biletleme Sistemleri, OAuth Jetonları, Bilgi İsteği, Finansman ... Aslında yaklaşık 8 sayfa veritabanı tabloları var, bu yüzden ifade etmeyi gerçekten zor olurdu.
"Güvenlik açığı çözüldüğü gibi işaretlendiğinde, Ford, açıklama isteğimizi görmezden geldi. Daha sonra, Hackerone Arabuluculuğu, PDF'de görülebilecek açıklamaya yardımcı olma talebimizi görmezden geldi."
Jackson'a devam etti "," Hackerone'un politika başına yasa ve olumsuz reperkuslar korkusuyla ifşa etmeyi zorlamak için altı ayı beklemek zorunda kaldık "dedi.
Şu anda, Ford'un güvenlik açığı açıklama programı parasal teşvikler veya böcek ödülleri sunmuyor, bu yüzden kamu çıkarları ışığında koordineli bir açıklama, araştırmacıların umut ettiği tek "ödül" idi.
BleepingComputer ile paylaşılan açıklama raporunun bir kopyası, Ford'un belirli güvenlik ile ilgili eylemler hakkında yorum yapmaktan kaçındığını gösterir.
"Gönderdiğiniz bulgular ... özel olarak kabul edilir. Bu güvenlik açığı raporları, açıklamayı gerektirebilecek uzlaşmaları önlemeye yöneliktir."
"Bu senaryoda, bulgularınızı HackerOne'a ve araştırmacılarla, PDF'deki tartışma uyarınca paylaşılan FORD" Hackerone'a gönderdikten kısa bir süre sonra çevrimdışı alındı.
Bitiş noktaları, raporun 24 saat içinde Ford tarafından çevrimdışı alınmasına rağmen, araştırmacılar aynı raporda, son noktalaların daha sonra bile erişilebilir kaldığı ve başka bir inceleme ve düzeltme talebini istedi.
Herhangi bir tehdit aktörünün Ford'taki sistemleri ihlal etmenin kırılganlığını sömürdüğü veya hassas müşteri / çalışanın PII'ye erişilip edilmediğine dair henüz bilinmemektedir.
BleepingComputer, yayıncılıktan önceden birden fazla kez iyi vakit geçirmeye ulaştı, ancak geri dönmedik.
Chase Bankası yanlışlıkla müşteri bilgilerini diğer müşterilerle sızdırdı
Kuzey İrlanda, veri sızıntısı sonrası aşı pasaport sistemini askıya aldı
Spor yönetimi yazılımındaki hatalar Hacker'ların fitness geçmişini silmesine izin ver
Suudi Aramco Veri İhlali Satılık 1 TB Çalınan Veri Görüyor
Çevrimiçi olarak 2 milyon kayıt ile gizli terörist izleme listesi
Kaynak: Bleeping Computer