Бесплатно Экспресс-аудит сайта:

17.08.2021

Уязвимость в сайте Ford предоставляла доступ к записям о клиентах и ​​сотрудниках

Уязвимость (CVE-2021-27653) в web-сайте Ford Motor Company позволила получить доступ к внутренним системам компании и просматривать конфиденциальные данные, включая базы данных клиентов, записи сотрудников, внутренние заявки и пр.

Проблема связана с некорректно настроенным экземпляром системы взаимодействия с клиентами Pega Infinity, работающей на серверах Ford. Уязвимость была обнаружена исследователями в области кибербезопасности Робертом Уиллисом (Robert Willis) и break3r при дальнейшей проверке и поддержке со стороны участников Sakura Samurai: Обри Коттла (Aubrey Cottle), Джексона Генри (Jackson Henry) и Джона Джексона (John Jackson). Исследователи предоставили BleepingComputer множество снимков экрана внутренних систем и баз данных Ford.

Для эксплуатации проблемы хакеру необходимо сначала получить доступ к серверной web-панели некорректно настроенного экземпляра портала Pega Chat Access Group. Различные полезные данные, предоставляемые в качестве URL-аргументов, могут позволить злоумышленникам выполнять запросы, похищать таблицы базы данных, токены доступа OAuth и выполнять административные действия.

Некоторые из обнаруженных активов содержали конфиденциальную идентифицирующую информацию, в том числе: записи клиентов и сотрудников, номера финансовых счетов, имена баз данных и таблицы, токены доступа OAuth, запросы внутренней поддержки, профили пользователей внутри организации, внутренние интерфейсы, история панели поиска и пр.

Проблема была исправлена, однако остается неизвестным, использовали ли какие-либо злоумышленники эту уязвимость для взлома систем Ford.