En raison de bugs dans le logiciel CRM du constructeur automobile, les chercheurs en sécurité ont pu accéder aux fichiers confidentiels de l’entreprise et des employés. Comme ils ont réussi à accéder aux bases de données clients, aux tickets internes, et bien plus, sur le site Web de Ford.
Les spécialistes de Ford ont révélé la fuite de données cette semaine après la divulgation :
Tel que rapporté par BleepingComputer, les chercheurs en sécurité Robert Willis et break3r ont d’abord découvert la vulnérabilité sur le site Web de l’entreprise. Ils ont donc recruté des membres de l’organisation de pirates éthiques Sakura Samurai par la suite. Et ce dans le but d’obtenir de l’aide.
La vulnérabilité elle-même est identifiée comme CVE-2021-27653. C’est une vulnérabilité de divulgation d’informations qui existe dans une instance de mauvaise configuration de Pega Infinity. Et s’exécutant sur des serveurs Ford.
Cependant, pour l’exploiter, l’attaquant doit d’abord accéder au panneau Web principal de l’instance de portail Pega Chat Access Group mal configurée.
Robert Willis s’exprime sur son blog :
Dans un article de blog, Robert Willis a fourni plus d’informations sur l’impact de la vulnérabilité. Ainsi que sur la manière dont elle permet aux chercheurs en sécurité d’effectuer des prises de contrôle de compte.
Robert Willis a déclaré ce qui suit :
L’impact est énorme ! Les attaquants peuvent utiliser les vulnérabilités découvertes dans Broken Access Control pour obtenir un trésor d’enregistrements sensibles. Mais aussi pour effectuer des prises de contrôle de compte et obtenir de grandes quantités de données.
La divulgation des vulnérabilités :
Bien que les chercheurs en sécurité aient signalé leurs découvertes à Pega en février de cette année. Et bien que la société ait rapidement corrigé les vulnérabilités de son portail de discussion, Ford n’a pas été aussi coopératif lorsqu’il a signalé les problèmes aux constructeurs automobiles via son programme de divulgation des vulnérabilités HackerOne.
John Jackson de Sakura Samurai a expliqué dans un e-mail à BleepingComputer ce qui suit. Ford avait cessé de répondre aux questions des chercheurs en sécurité. En effet, HackerOne a dû intervenir pour obtenir une première réponse aux vulnérabilités qu’il a soumises à l’entreprise.
Cependant, ce n’est que lorsque les chercheurs en sécurité ont reçu la nouvelle de HackerOne que la vulnérabilité a été publiée sur le site Web de Ford. Et ce, sans mentionner de détails sensibles.
Cependant, en fin de compte, en raison de la politique de HackerOne, les chercheurs en sécurité ont dû attendre six mois complets pour divulguer la vulnérabilité. Il convient de noter que Ford n’a pas de programme de prime aux bugs. Donc ils n’ont aucune motivation économique pour divulguer les bugs.
Pourquoi ont-ils agi de la sorte ? Eh bien, ils l’ont fait par souci pour les clients du constructeur automobile.
À l’heure actuelle, il n’est toujours pas clair si des cybercriminels ou tout autre tiers ont eu accès aux données sensibles de l’entreprise. Ou bien des clients exposées sur le site Web de Ford en raison de la vulnérabilité. Plusieurs données de plusieurs sites web sont volées à chaque instant, comme celles de T-Mobile. Soyez prudent !