据BleepingComputer报道,8月15日,研究人员披露了在福特网站上发现的一个漏洞,该漏洞可能允许浏览者窥视公司的机密记录、数据库并执行帐户接管。研究人员在2月份向福特报告了该漏洞,福特表示该漏洞已得到修复。数据泄露的根源是在福特汽车公司服务器上运行的PegaInfinity客户参与系统配置错误。从数据泄露到帐户接管福特汽车公司网站上存在一个系统漏洞,允许浏览者访问敏感系统并获取专有信息,包括客户数据库、员工记录、内部票证等。该漏洞由RobertWillis和break3r发现,并得到樱花武士白帽成员AubreyCottle、JacksonHenry和JohnJackson的进一步验证和支持。该问题是由PegaInfinity客户管理系统错误配置实例中名为CVE-2021-27653的信息泄露漏洞引起的。研究人员向媒体分享了福特内部系统和数据库的大量截图,例如公司的票务系统如下图所示::https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/bD8qH******bIw4Prb*/!RPACHAT/$STANDARD...AS提供的不同负载URL参数可能允许攻击者运行查询、检索数据库表、OAuth访问令牌和执行管理操作。暴露的资产包含一些敏感的个人身份信息(PII),如下所示:客户和员工记录、财务帐号、数据库名称和表格、OAuth访问令牌、内部投票、用户配置文件、内部界面、搜索栏历史记录等。”影响的规模足够大,以至于攻击者可以利用访问控制中发现的漏洞,获得对大量敏感记录的访问权限,获取大量数据,并执行帐户接管,”罗伯特威利斯在一篇博客文章中写道。“强制披露”耗时六个月2021年2月,研究人员向Pega报告了他们的发现,他们相对较快地修复了聊天门户中的CVE。大约在同一时间,福特通过HackerOne漏洞披露计划收到了漏洞报告。但是,据报道,随着漏洞披露时间表的推进,福特的反馈已经减少。杰克逊在邮件采访中回应媒体称,“福特汽车公司一度忽视了我们的担忧,经过HackerOne的调解,我们得到了福特对该漏洞的初步回应。”杰克逊还表示,随着披露时间线的进一步推进,研究人员在发布有关该漏洞的推文后仅收到了HackerOne的回复,其中不包括任何敏感细节:杰克逊在后续推文中继续说道:“当漏洞被标记为解决后,福特汽车公司忽略了我们的披露请求,随后,HackerOneMediation同样忽略了我们的披露请求,这可以在PDF中看到”;“出于对法律和负面影响的担忧,我们只能等待整整六个月按照HackerOne的政策执行强制披露。”目前,福特汽车公司的漏洞披露计划不提供任何金钱奖励或漏洞奖励,因此为了公共利益协调披露是研究人员唯一希望得到的“奖励”。报告后的一份报告副本显示,福特没有对具体问题发表评论安全相关行动。根据PDF中的讨论,福特和HackerOne告诉研究人员,“发现的漏洞在提交给HackerOne后不久就被下线了。”虽然福特在报告后24小时内将端点下线,但研究人员在同一份报告中评论说:“报告发布后,端点仍然可以访问,需要进行另一次审查和补救。”“目前尚不清楚人员是否利用该漏洞闯入福特的系统,或者他们是否访问了客户信息。”和员工敏感数据。
