Une erreur de site Web expose les données des clients Ford et plus encore

Les chercheurs en sécurité ont pu accéder aux dossiers confidentiels de l’entreprise et des employés, aux bases de données clients, aux tickets internes et plus encore sur le site Web de Ford en raison d’un bogue dans le logiciel CRM du constructeur automobile.

Tel que rapporté par BleepingComputer, les chercheurs en sécurité Robert Willis et break3r ont d’abord découvert la vulnérabilité sur le site de l’entreprise avant de faire appel à des membres du groupe de piratage éthique Sakura Samurai pour obtenir une aide supplémentaire.

Le bogue lui-même, suivi comme CVE-2021-27653, est une vulnérabilité d’exposition d’informations qui existe dans des instances mal configurées de Pega Infinity s’exécutant sur les serveurs de Ford. Cependant, pour l’exploiter, un attaquant devrait d’abord accéder au panneau Web principal d’une instance de portail Pega Chat Access Group mal configurée.

Dans un article de blog, Robert Willis a fourni des informations supplémentaires sur l’impact de la vulnérabilité et sur la manière dont elle a permis aux chercheurs en sécurité d’effectuer des prises de contrôle de compte, en déclarant :

« L’impact a été de grande ampleur. Les attaquants pourraient utiliser les vulnérabilités identifiées dans le contrôle d’accès brisé et obtenir des trésors d’enregistrements sensibles, effectuer des prises de contrôle de compte et obtenir une quantité substantielle de données.

Divulgation des vulnérabilités

Alors que les chercheurs en sécurité ont signalé leurs découvertes à Pega en février de cette année et que la société a rapidement corrigé la vulnérabilité dans son portail de discussion, Ford n’a pas été aussi coopératif lorsque le problème a été signalé au constructeur automobile via son programme de divulgation de vulnérabilité HackerOne.

John Jackson de Sakura Samurai a expliqué dans un e-mail à BleepingComputer qu’à un moment donné, Ford a cessé de répondre aux questions du chercheur en sécurité. En effet, HackerOne a dû intervenir pour obtenir une première réponse sur sa soumission de vulnérabilité à l’entreprise.

Cependant, ce n’est que lorsque les chercheurs en sécurité ont tweeté la vulnérabilité sur le site Web de Ford sans mentionner de détails sensibles avant d’avoir des nouvelles de HackerOne.

En fin de compte, cependant, les chercheurs en sécurité ont dû attendre six mois complets avant de divulguer eux-mêmes la vulnérabilité en raison de la politique de HackerOne. Il convient de noter que Ford n’a pas de programme de prime aux bogues, il n’y avait donc aucune incitation financière pour eux à divulguer la vulnérabilité. Au lieu de cela, ils l’ont fait par souci pour les clients du constructeur automobile.

À l’heure actuelle, il n’est toujours pas clair si des cybercriminels ou tout autre tiers ont eu accès aux données sensibles de l’entreprise et des clients exposées sur le site Web de Ford en raison de la vulnérabilité.

Via BleepingOrdinateur

Share