福特汽车专有数据或被泄露

福特汽车专有数据或被泄露

黑帽SEO访客2021-10-10 23:45:003823A+A-

近日,福特汽车被曝存在一个较为严重的安全漏洞,黑客可通过该漏洞访问其配置错误的Pega Infinity系统,从而获取包括客户数据库、员工记录、内部票证等在内的专有数据信息。黑客还可以借此执行账户接管操作。

从数据泄露到账户接管

该漏洞由Robert Willis 和 break3r发现, 并得到了Sakura Samurai组织成员Aubrey Cottle、Jackson Henry和John Jackson的进一步验证和支持 。

该问题是由CVE-2021-27653漏洞引起的,它是一个信息泄露漏洞,存在于福特公司配置不当的Pega Infinity客户管理系统中。研究人员分享了该系统和数据库的许多截图。例如,该公司的票务系统如下图所示:

福特的内部票务系统

要利用该漏洞,攻击者首先必须访问配置错误的Pega Chat Access Group用户的后端Web面板:

作为URL参数提供的不同负载可能使攻击者能够运行查询、检索数据库表、获取OAuth访问令牌和执行管理操作。

研究人员表示,泄露的数据资产包含敏感的个人身份信息:

  • 客户和员工记录
  • 财务账号
  • 数据库名称和表
  • OAuth访问令牌
  • 内部支持票
  • 组织内的用户个人资料
  • 脉冲动作
  • 内部接口
  • 搜索栏历史

耗时六个月才被披露

早在2021年2月,研究人员就向Pega报告了他们的发现,并尽快地修复了聊天门户中的CVE漏洞。大约在同一时间,这个问题也通过他们的HackerOne漏洞披露计划报告给了福特。

Jackson表示,随着披露时间表的进一步推进,研究人员在发布有关该漏洞的推文后收到了HackerOne的回复,但没有提供任何敏感细节:

研究人员等待了六个月后才得到了该漏洞的披露详情。目前,福特的漏洞披露计划不提供金钱激励或漏洞奖励,因此根据公共利益进行协调披露是研究人员希望的唯一“奖励”。

目前,福特并没有对本次事件的特定安全相关行为发表评论。虽然福特宣称在接到报告后24小时内关闭了端点,但研究人员指出,他们在福特宣称关闭了端点之后发现此端点仍可访问,并要求福特再次审查并采取缓解措施。

目前尚不清楚是否有任何攻击者利用该漏洞破坏福特的系统,或者是否访问了客户或福特员工的个人身份信息。

参考资料

来源:安全牛

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 青迟木緿2022-05-30 01:18:04
  • 近日,福特汽车被曝存在一个较为严重的安全漏洞,黑客可通过该漏洞访问其配置错误的Pega Infinity系统,从而获取包括客户数据库、员工记录、内部票证等在内的专有数据信息。黑客还可以借此执行账户接管操作。从数据泄露到账户接管该漏洞由Rob
  • 礼忱世味2022-05-30 11:55:13
  • th访问令牌和执行管理操作。研究人员表示,泄露的数据资产包含敏感的个人身份信息:客户和员工记录财务账号数据库名称和表OAuth访问令牌内部支持票组织内的用户个人资料脉冲动
  • 离鸢戈亓2022-05-30 09:02:07
  • obert Willis 和 break3r发现, 并得到了Sakura Samurai组织成员Aubrey Cottle、Jackson Henry和John Jackson的进一步验证和支持 。该问题是由CVE-2021-27653

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理