Błąd na stronie Forda pozwalał na uzyskanie wrażliwych danych. Nie wiadomo, czy oszuści nie pozyskali ich wcześniej
Błąd w zabezpieczeniach strony Ford Motor Company umożliwiał dostęp do wrażliwych danych. Za jego pomocą możliwe było dostanie się do wewnętrznych systemów firmy i uzyskanie takich danych jak baza klientów czy kartoteki pracowników.
Zgodnie z informacjami Bleeping Computer, problem leżał w źle skonfigurowanym systemie Pega Infinity na serwerach Forda. Luka była na tyle poważna, że eksperci mogli ją wykorzystać nawet do przejęcia kont pracowników Forda.
Hakerzy na tropie dziurawych systemów
Problem został znaleziony przez specjalistów zajmujących się bezpieczeństwem systemów, Roberta Willisa i hakera znanego jako break3r. W całym przedsięwzięciu wspomagała ich grupa etycznych hakerów Sakura Samurai. Wynikami całego śledztwa specjaliści postanowili podzielić się z serwisem Bleeping Computer, któremu udostępnili także zrzuty ekranu z wewnętrznych systemów Forda.
Specjaliści potwierdzili, że za pomocą luki udało im się pozyskać dostęp do szerokiego wachlarza wrażliwych danych. Hakerzy podali, że weszli w posiadanie dokumentacji klientów i pracowników, numerów kont, firmowych baz danych, zgłoszeń pomocy, a nawet historii wyszukiwania informacji w wewnętrznych systemach. Oznacza to, że potencjalni oszuści mogliby praktycznie przejąć system, szczególnie, że możliwe było także uzyskanie dostępu do kont poszczególnych pracowników w celu ich przejęcia.
Luka CVE-2021-27653
Opisany problem ma być wynikiem błędu CVE-2021-27653, usterki umożliwiającej ujawnienie informacji w nieprawidłowo skonfigurowanych instancjach systemu zarządzania klientami Pega Infinity. Aby wykorzystać ten problem, osoba atakująca musiałaby uzyskać dostęp do panelu WWW źle skonfigurowanej instancji portalu Pega Chat Access Group.
W kolejnym kroku oszuści mogli już uruchomić zapytania za pomocą których możliwe było pobieranie tabel bazy danych, tokenów dostępu OAuth i wykonywanie działań administracyjnych. Zdaniem specjalistów, którzy znaleźli lukę w systemach Forda, skala tego błędu jest bardzo poważne. Szczególnie, ze pozwalała na przejęcie danych wrażliwych.
Problem został zgłoszony firmie Pega oraz Fordowi już w lutym bieżącego roku, jednak zdaniem badaczy, kontakt z producentem samochodów był wyjątkowo utrudniony. Chociaż Pega szybko naprawiła lukę w swoich systemach, Ford nie wydawał się zainteresowany całą sprawą i powagą sytuacji. Dodatkowego smaczku całej kwestii dodaje fakt, że nie wiadomo czy ktoś już wcześniej nie znalazł i nie wykorzystał tej luki w celu naruszenia systemów i uzyskania dostępu do wrażliwych danych.
