Ένα σφάλμα στο site της Ford Motor Company επέτρεπε την πρόσβαση τρίτων σε σημαντικά συστήματα και την παραβίαση ευαίσθητων δεδομένων (βάσεις δεδομένων πελατών, αρχεία εργαζομένων, εσωτερικά tickets κ.λπ).
Το πρόβλημα προήλθε από μια εσφαλμένη διαμόρφωση του Pega Infinity customer engagement system που εκτελείται στους διακομιστές της Ford.
Δείτε επίσης: T-Mobile hacked; Hacker λέει ότι έχει κλέψει data εκατομμυρίων πελατών
Κλοπή δεδομένων και παραβιάσεις λογαριασμών
Ερευνητές ασφαλείας αποκάλυψαν πρόσφατα το σφάλμα στον ιστότοπο της Ford, που τους επέτρεψε την πρόσβαση σε εμπιστευτικά αρχεία της εταιρείας και βάσεις δεδομένων, ενώ καθιστούσε δυνατή την παραβίαση λογαριασμών.
Το ζήτημα ασφαλείας προκαλείται από το CVE-2021-27653, μια ευπάθεια που επιτρέπει την αποκάλυψη πληροφοριών σε Pega Infinity customer management system instances, που δεν είναι διαμορφωμένα σωστά.
Οι ερευνητές μοιράστηκαν με το BleepingComputer πολλά screenshots από τα εσωτερικά συστήματα και τις βάσεις δεδομένων της Ford.
Δείτε επίσης: #KartaGate: Η Επίτροπος Προστασίας Προσωπικών Δεδομένων επιβεβαιώνει την παραβίαση
Για να εκμεταλλευτεί την ευπάθεια ένας εισβολέας, θα πρέπει πρώτα να αποκτήσει πρόσβαση στο backend web panel ενός μη σωστού Pega Chat Access Group portal instance.
Όπως διαπίστωσε το BleepingComputer, διαφορετικά payloads που παρέχονται ως URL arguments, θα μπορούσαν να επιτρέψουν στους εισβολείς να εκτελέσουν queries, να ανακτήσουν βάσεις δεδομένων, OAuth access tokens και να εκτελέσουν ενέργειες σε επίπεδο διαχειριστή.
Οι ερευνητές δηλώνουν ότι ορισμένα από τα εκτεθειμένα στοιχεία περιείχαν ευαίσθητες προσωπικές πληροφορίες, όπως:
- Αρχεία πελατών και εργαζομένων
- Αριθμούς λογαριασμών
- Ονόματα και πίνακες βάσεων δεδομένων
- OAuth access tokens
- Εσωτερικά tickets
- Προφίλ χρηστών εντός του οργανισμού
- Pulse actions
- Εσωτερικά interfaces
Οι ερευνητές υποστηρίζουν ότι η εκμετάλλευση της ευπάθειας θα μπορούσε να έχει σημαντικές συνέπειες. “Οι επιτιθέμενοι μπορούσαν να χρησιμοποιήσουν τα τρωτά σημεία που εντοπίστηκαν και να αποκτήσουν πληθώρα ευαίσθητων αρχείων, να πραγματοποιήσουν account takeover επιθέσεις και να λάβουν σημαντικό αριθμό δεδομένων“, γράφει ένας από τους ερευνητές σε ένα blog post.
Οι ερευνητές είχαν αναφέρει τα συμπεράσματά τους στην Pega ήδη από τον Φεβρουάριο του 2021, και η ευπάθεια διορθώθηκε σχετικά γρήγορα.
Το ζήτημα αναφέρθηκε επίσης στη Ford περίπου την ίδια στιγμή μέσω του προγράμματος αποκάλυψης ευπαθειών HackerOne.
Ωστόσο, οι ερευνητές είπαν στο BleepingComputer ότι η επικοινωνία με τη Ford δεν ήταν και η καλύτερη δυνατή:
“Κάποια στιγμή, σταμάτησαν εντελώς να απαντούν στις ερωτήσεις μας. Χρειάστηκε η διαμεσολάβηση του HackerOne για να λάβουμε μια απάντηση σχετικά με την υποβολή ευπάθειας“, δήλωσε ο ερευνητής John Jackson στο BleepingComputer.
Πέρασαν μήνες για τη δημόσια αποκάλυψη του σφάλματος.
Δείτε επίσης: Το Zoom θα πληρώσει 85 εκατ. $ σε αγωγή παραβίασης ιδιωτικής ζωής
Προς το παρόν, το πρόγραμμα αποκάλυψης ευπαθειών της Ford δεν προσφέρει χρηματικά κίνητρα ή bug bounties, οπότε η αποκάλυψη του ζητήματος για το δημόσιο συμφέρον ήταν η μόνη «ανταμοιβή» στην οποία ήλπιζαν οι ερευνητές.
Ένα αντίγραφο της αναφοράς αποκάλυψης που κοινοποιήθηκε στο BleepingComputer υποδεικνύει ότι η Ford απέφυγε να σχολιάσει συγκεκριμένες ενέργειες που σχετίζονται με την ασφάλεια.
Δεν είναι γνωστό εάν κάποιος εγκληματίας του κυβερνοχώρου εκμεταλλεύτηκε την ευπάθεια για να παραβιάσει τα συστήματα της Ford ή αν υπήρξε πρόσβαση σε ευαίσθητα δεδομένα πελατών.
Πηγή: Bleeping Computer