Les chercheurs en sécurité ont pu accéder aux dossiers confidentiels de l’entreprise et des employés, aux bases de données clients, aux tickets internes et plus encore sur le site Web de Ford en raison d’un bogue dans le logiciel CRM du constructeur automobile.
Tel que rapporté par BipOrdinateur, les chercheurs en sécurité Robert Willis et break3r ont d’abord découvert la vulnérabilité sur le site de l’entreprise avant de faire appel à des membres du groupe de piratage éthique Sakura Samurai pour obtenir une aide supplémentaire.
Le bogue lui-même, suivi sous le nom CVE-2021-27653, est une vulnérabilité d’exposition aux informations qui existe dans les instances mal configurées de Pega Infinity s’exécutant sur les serveurs de Ford. Afin de l’exploiter, un attaquant devrait d’abord accéder au panneau Web principal d’une instance de portail Pega Chat Access Group mal configurée.
Dans un article de blog, Robert Willis a fourni des informations supplémentaires sur l’impact de la vulnérabilité et sur la manière dont elle a permis aux chercheurs en sécurité d’effectuer des prises de contrôle de compte, en déclarant :
« L’impact a été de grande ampleur. Les attaquants pourraient utiliser les vulnérabilités identifiées dans le contrôle d’accès brisé et obtenir des trésors d’enregistrements sensibles, effectuer des prises de contrôle de compte et obtenir une quantité substantielle de données.
Sommaire
Divulgation des vulnérabilités
Alors que les chercheurs en sécurité ont signalé leurs découvertes à Pega en février de cette année et que la société a rapidement corrigé la vulnérabilité dans son portail de discussion, Ford n’a pas été aussi coopératif lorsque le problème a été signalé au constructeur automobile via son programme de divulgation de vulnérabilité HackerOne.
John Jackson de Sakura Samurai a expliqué dans un e-mail à BipOrdinateur qu’à un moment donné, Ford a cessé de répondre aux questions du chercheur en sécurité. En effet, HackerOne a dû intervenir pour obtenir une première réponse sur sa soumission de vulnérabilité à l’entreprise.
Cependant, ce n’est que lorsque les chercheurs en sécurité ont tweeté sur la vulnérabilité sur le site Web de Ford sans mentionner de détails sensibles avant d’avoir des nouvelles de HackerOne.
En fin de compte, cependant, les chercheurs en sécurité ont dû attendre six mois complets avant de divulguer eux-mêmes la vulnérabilité en raison de la politique de HackerOne. Il convient de noter que Ford n’a pas de programme de prime aux bogues, il n’y avait donc aucune incitation financière pour eux à divulguer la vulnérabilité. Au lieu de cela, ils l’ont fait par souci pour les clients du constructeur automobile.
À l’heure actuelle, il n’est toujours pas clair si des cybercriminels ou tout autre tiers ont eu accès aux données sensibles de l’entreprise et des clients exposées sur le site Web de Ford en raison de la vulnérabilité.
Via BleepingOrdinateur
