Bug επέτρεπε την παραβίαση δεδομένων πελατών και εργαζομένων
Ένα σφάλμα στο site της
Ford Motor Company
επέτρεπε την
πρόσβαση τρίτων σε σημαντικά
συστήματα
και την
παραβίαση
ευαίσθητων δεδομένων
(βάσεις δεδομένων πελατών, αρχεία εργαζομένων, εσωτερικά tickets κ.λπ).
Το πρόβλημα προήλθε από μια εσφαλμένη διαμόρφωση του
Pega Infinity customer engagement
system
που εκτελείται στους διακομιστές της Ford.
Δείτε επίσης:
T-Mobile hacked; Hacker λέει ότι έχει κλέψει data εκατομμυρίων πελατών
Κλοπή δεδομένων και
παραβιάσεις
λογαριασμών
Ερευνητές
ασφαλείας
αποκάλυψαν πρόσφατα το σφάλμα στον ιστότοπο της Ford, που τους επέτρεψε την
πρόσβαση σε εμπιστευτικά αρχεία της εταιρείας και βάσεις δεδομένων
, ενώ καθιστούσε δυνατή την
παραβίαση
λογαριασμών.
Το ζήτημα
ασφαλείας
προκαλείται από το
CVE-2021-27653
, μια
ευπάθεια
που επιτρέπει την αποκάλυψη πληροφοριών σε Pega Infinity customer management system instances, που δεν είναι διαμορφωμένα σωστά.
Οι ερευνητές μοιράστηκαν με το BleepingComputer πολλά screenshots από τα εσωτερικά
συστήματα
και τις βάσεις δεδομένων της Ford.
Δείτε επίσης
: #KartaGate:
Η Επίτροπος Προστασίας Προσωπικών Δεδομένων επιβεβαιώνει την
παραβίαση
Για να εκμεταλλευτεί την
ευπάθεια
ένας εισβολέας, θα πρέπει πρώτα να αποκτήσει πρόσβαση στο backend web panel ενός μη σωστού Pega Chat Access Group portal instance.
Όπως διαπίστωσε το BleepingComputer, διαφορετικά payloads που παρέχονται ως URL arguments, θα μπορούσαν να επιτρέψουν στους εισβολείς να εκτελέσουν queries, να ανακτήσουν βάσεις δεδομένων, OAuth access tokens και να εκτελέσουν ενέργειες σε επίπεδο διαχειριστή.
Οι ερευνητές δηλώνουν ότι ορισμένα από τα εκτεθειμένα στοιχεία περιείχαν
ευαίσθητες προσωπικές πληροφορίες
, όπως:
- Αρχεία πελατών και εργαζομένων
- Αριθμούς λογαριασμών
- Ονόματα και πίνακες βάσεων δεδομένων
- OAuth access tokens
- Εσωτερικά tickets
- Προφίλ χρηστών εντός του οργανισμού
- Pulse actions
- Εσωτερικά interfaces
Οι ερευνητές υποστηρίζουν ότι η
εκμετάλλευση
της ευπάθειας θα μπορούσε να έχει σημαντικές συνέπειες. “
Οι επιτιθέμενοι μπορούσαν να χρησιμοποιήσουν τα τρωτά σημεία που εντοπίστηκαν και να αποκτήσουν πληθώρα ευαίσθητων αρχείων, να πραγματοποιήσουν account takeover
επιθέσεις
και να λάβουν σημαντικό αριθμό δεδομένων
“, γράφει ένας από τους ερευνητές σε ένα blog post.
Οι ερευνητές είχαν αναφέρει τα συμπεράσματά τους στην Pega ήδη από τον Φεβρουάριο του 2021, και η
ευπάθεια
διορθώθηκε σχετικά γρήγορα.
Το ζήτημα αναφέρθηκε επίσης στη Ford περίπου την ίδια στιγμή μέσω του προγράμματος αποκάλυψης ευπαθειών
HackerOne
.
Ωστόσο, οι ερευνητές είπαν στο BleepingComputer ότι η
επικοινωνία
με τη Ford δεν ήταν και η καλύτερη δυνατή:
“
Κάποια στιγμή, σταμάτησαν εντελώς να απαντούν στις ερωτήσεις μας. Χρειάστηκε η διαμεσολάβηση του HackerOne για να λάβουμε μια
απάντηση
σχετικά με την υποβολή ευπάθειας
“, δήλωσε ο ερευνητής John Jackson στο BleepingComputer.
Πέρασαν μήνες για τη δημόσια αποκάλυψη του σφάλματος.
Δείτε επίσης:
Το Zoom θα πληρώσει 85 εκατ. $ σε αγωγή παραβίασης ιδιωτικής ζωής
Προς το παρόν, το
πρόγραμμα
αποκάλυψης ευπαθειών της Ford δεν προσφέρει χρηματικά κίνητρα ή bug bounties, οπότε η αποκάλυψη του ζητήματος για το δημόσιο συμφέρον ήταν η μόνη «ανταμοιβή» στην οποία ήλπιζαν οι ερευνητές.
Ένα αντίγραφο της αναφοράς αποκάλυψης που κοινοποιήθηκε στο BleepingComputer υποδεικνύει ότι η Ford απέφυγε να σχολιάσει συγκεκριμένες ενέργειες που σχετίζονται με την
ασφάλεια
.
Δεν είναι γνωστό εάν κάποιος εγκληματίας του κυβερνοχώρου εκμεταλλεύτηκε την
ευπάθεια
για να παραβιάσει τα
συστήματα
της Ford ή αν υπήρξε πρόσβαση σε ευαίσθητα
δεδομένα
πελατών.
Πηγή: Bleeping Computer
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.