Издание Bleeping Computer сообщает, что баг на сайте Ford Motor Company позволял получить доступ к внутренним системам компании и конфиденциальным данным, включая базы данных клиентов, информацию о сотрудниках, внутренние заявки и так далее. По сути, проблема позволяла осуществлять полный захват чужих аккаунтов.
Уязвимость, которая получила идентификатор CVE-2021-27653, была обнаружена ИБ-специалистами Робертом Уиллисом и break3r, при поддержке этической хак-группы Sakura Samurai.
Корень проблемы крылся в неправильно настроенных экземплярах системы Pega Infinity. Чтобы воспользоваться багом, злоумышленник должен был получить доступ к серверной веб-панели Pega Chat Access Group. Различные пейлоады в виде аргументов URL позволяли выполнять запросы, извлекать таблицы баз данных, токены доступа OAuth и выполнять административные действия.
Исследователи предоставили журналистам скриншоты внутренних систем и баз данных Ford, и рассказали, что обнаружили множество конфиденциальных данных, в том числе:
- данные клиентов и сотрудников;
- номера финансовых счетов;
- имена баз данных и таблиц;
- токены доступа OAuth;
- тикеты внутренней поддержки (на скриншоте выше);
- пользовательские профили внутри организации;
- внутренние интерфейсы;
- историю поиска.
Еще в феврале 2021 года исследователи сообщили разработчикам Pega о своих выводах, а те довольно быстро устранили найденный баг. Примерно в это же время об уязвимости уведомили и представителей Ford (через HackeroOne), однако связь с компанией вскоре прервалась.
«В какой-то момент они просто перестали отвечать на наши вопросы. Потребовалось посредничество HackerOne, чтобы получить ответ хотя бы на наше изначальное сообщение об уязвимости, — рассказывает участник Sakura Samurai Джон Джексон. — Когда уязвимость была отмечена как исправленная, Ford проигнорировал наш запрос на раскрытие информации. В соответствии с правилами HackerOne, нам пришлось ждать полные шесть месяцев, чтобы принудительно раскрыть информацию [об уязвимости], так как мы опасались юридического преследования и негативных последствий».
Интересно, что bug bounty программа Ford не предлагает ИБ-специалистам никаких денежных стимулов и вознаграждений, поэтому эксперты рассчитывали только скоординированное и полное раскрытие информации о проблеме. Однако в итоге представители Ford воздержались даже от комментариев по поводу конкретных действий, которые они предприняли для улучшения безопасности.
Пока неизвестно, успели ли злоумышленники обнаружить эту уязвимость раньше экспертов, и попала ли конфиденциальная информация о клиентах и сотрудниках компании в руки третьих лиц. Представители Ford проигнорировали все вопросы журналистов.