Уязвимость в сайте Ford предоставляла доступ к записям о клиентах и ​​сотрудниках

[душман]

Уязвимость (CVE-2021-27653) в web-сайте Ford Motor Company позволила получить доступ к внутренним системам компании и просматривать конфиденциальные данные, включая базы данных клиентов, записи сотрудников, внутренние заявки и пр. Проблема связана с некорректно настроенным экземпляром системы взаимодействия с клиентами Pega Infinity, работающей на серверах Ford. 

Уязвимость была обнаружена исследователями в области кибербезопасности Робертом Уиллисом и break3r при дальнейшей проверке и поддержке со стороны участников Sakura Samurai: Обри Коттла, Джексона Генри и Джона Джексона. Исследователи предоставили BleepingComputer множество снимков экрана внутренних систем и баз данных Ford.

Для эксплуатации проблемы хакеру необходимо сначала получить доступ к серверной web-панели некорректно настроенного экземпляра портала Pega Chat Access Group. Различные полезные данные, предоставляемые в качестве URL-аргументов, могут позволить злоумышленникам выполнять запросы, похищать таблицы базы данных, токены доступа OAuth и выполнять административные действия.

Некоторые из обнаруженных активов содержали конфиденциальную идентифицирующую информацию, в том числе: записи клиентов и сотрудников, номера финансовых счетов, имена баз данных и таблицы, токены доступа OAuth, запросы внутренней поддержки, профили пользователей внутри организации, внутренние интерфейсы, история панели поиска и пр. Проблема была исправлена, однако остается неизвестным, использовали ли какие-либо злоумышленники эту уязвимость для взлома систем Ford.