福特汽车严重安全漏洞被公开披露 专有机密和用户数据或遭泄露

首页 / 业界 / 资讯 /  正文
作者:藏青
来源:安全419
发布于:1个月前
近日,福特汽车被曝存在一个较为严重的安全漏洞,黑客可通过该漏洞访问其配置错误的Pega Infinity系统,从而获取包括客户数据库、员工记录、内部票证等在内的专有数据信息。黑客还可以借此执行账户接管操作。
 
 
从数据泄露到账户接管
 
该漏洞由Robert Willis 和 break3r发现, 并得到了Sakura Samurai组织成员Aubrey Cottle、Jackson Henry和John Jackson的进一步验证和支持 。
 
该问题是由CVE-2021-27653漏洞引起的,存在于福特公司配置不当的Pega Infinity客户管理系统中。研究人员分享了该系统和数据库的许多截图,例如该公司的票务系统:

 
研究人员表示,暴露的资产包含敏感的个人身份信息,比如客户和员工记录、财务账号、数据库名称和表、OAuth 访问令牌、内部投票、用户个人资料、内部接口、搜索栏历史等。
 
Robert Willis在一篇博客文章中写道, “影响规模很大,攻击者可以利用访问控制中发现的漏洞,获取大量敏感记录,获取大量数据,执行帐户接管。
 
漏洞发现六个月后被“强制披露”
 
2021年2月,研究人员向Pega报告了他们的发现,他们用相对较快的时间修复了聊天门户中的 CVE。大约在同一时间,福特公司也通过HackerOne 漏洞披露计划收到了该漏洞报送信息。
 
但随着漏洞披露时间的临近,福特的反馈却变得越来越少。
 
Jackson在电子邮件采访中回应媒体,“有一次,福特汽车公司对我们的问题置之不理,经过HackerOne的调解,我们才得到福特对该漏洞的初步回应,研究人员仅在发布了该漏洞的推文以后,收到了HackerOne的回复,没有包含任何敏感细节:
 
 
Jackson在后续的推文中继续说:“当漏洞被标记成已解决后,福特汽车公司忽略了我们的披露请求,随后,HackerOne调解同样忽略了我们的披露请求,出于对法律和负面影响的担忧,我们只能等待整整六个月才能根据HackerOne的政策执行强制披露。“
 
研究人员等待了六个月后才得到了该漏洞的披露详情。目前,福特的漏洞披露计划不提供金钱激励或漏洞奖励,因此根据公共利益进行协调披露是研究人员希望的唯一“奖励”。
 
目前,福特并没有对本次事件的特定安全相关行为发表评论。虽然福特宣称在接到报告后24小时内关闭了端点,但研究人员指出,他们在福特宣称关闭了端点之后发现此端点仍可访问,并要求福特再次审查并采取缓解措施。
 
目前尚不清楚是否有任何攻击者利用该漏洞破坏福特的系统,或者是否访问了客户或福特员工的个人身份信息。