从数据泄露到账户接管
该漏洞由Robert Willis 和 break3r发现, 并得到了Sakura Samurai组织成员Aubrey Cottle、Jackson Henry和John Jackson的进一步验证和支持 。
该问题是由CVE-2021-27653漏洞引起的,存在于福特公司配置不当的Pega Infinity客户管理系统中。研究人员分享了该系统和数据库的许多截图,例如该公司的票务系统:
研究人员表示,暴露的资产包含敏感的个人身份信息,比如客户和员工记录、财务账号、数据库名称和表、OAuth 访问令牌、内部投票、用户个人资料、内部接口、搜索栏历史等。
Robert Willis在一篇博客文章中写道, “影响规模很大,攻击者可以利用访问控制中发现的漏洞,获取大量敏感记录,获取大量数据,执行帐户接管。
漏洞发现六个月后被“强制披露”
2021年2月,研究人员向Pega报告了他们的发现,他们用相对较快的时间修复了聊天门户中的 CVE。大约在同一时间,福特公司也通过HackerOne 漏洞披露计划收到了该漏洞报送信息。
但随着漏洞披露时间的临近,福特的反馈却变得越来越少。
Jackson在电子邮件采访中回应媒体,“有一次,福特汽车公司对我们的问题置之不理,经过HackerOne的调解,我们才得到福特对该漏洞的初步回应,研究人员仅在发布了该漏洞的推文以后,收到了HackerOne的回复,没有包含任何敏感细节:
Jackson在后续的推文中继续说:“当漏洞被标记成已解决后,福特汽车公司忽略了我们的披露请求,随后,HackerOne调解同样忽略了我们的披露请求,出于对法律和负面影响的担忧,我们只能等待整整六个月才能根据HackerOne的政策执行强制披露。“
研究人员等待了六个月后才得到了该漏洞的披露详情。目前,福特的漏洞披露计划不提供金钱激励或漏洞奖励,因此根据公共利益进行协调披露是研究人员希望的唯一“奖励”。
目前,福特并没有对本次事件的特定安全相关行为发表评论。虽然福特宣称在接到报告后24小时内关闭了端点,但研究人员指出,他们在福特宣称关闭了端点之后发现此端点仍可访问,并要求福特再次审查并采取缓解措施。
目前尚不清楚是否有任何攻击者利用该漏洞破坏福特的系统,或者是否访问了客户或福特员工的个人身份信息。
京公网安备 11010802033237号
