Ford 汽車內部顧客與員工資料,因系統錯誤而於網上曝光

美國 Ford 汽車公司,由於內部客服管理系統的設定錯誤,造成部分員工與顧客的相關資料在網路上曝光可供存取。

美國 Ford (福特)汽車公司日前發生資料安全控管事件,由於內部客服管理系統的設定錯誤,造成部分員工與顧客的相關資料在網路上曝光,可供有心人士直接存取,甚至取得帳號權限。

資安研究人員在美國 Ford 汽車官方網站中發現一個漏洞,可以經由此漏洞進入 Ford 內部伺服器上執行的 Pega Infinity 顧客互動管理系統內,取得諸如用戶資料庫、員工各項記錄與內部派工單等機敏資訊。

研究人員利用 Pega Infinity 一個錯誤設定的漏洞(CVE-2021-27653),透過 Pega Infinity 的客服人員線上對談控制台,即可利用此漏洞存取 Ford 內部的各種系統與資料庫。

研究人員指出,透過這種方法可以取得相當多個人可識別(Personally Identifiable Information, PII),包括以下項目:

  • 顧客與員工記錄
  • 金融服務帳號
  • 資料庫名稱與表格
  • OAuth 存取 token
  • 內部支援工單
  • 附有組織名稱的用戶檔案
  • 內部操作介面
  • 搜尋列的搜尋記錄

研究人員指出,這些資料外洩可能會對該公司帶來極大衝擊;有心人士可以利用此漏洞,發動進一步的資安攻擊,例如植入更多惡意軟體,以及取得系統控制權之外,外洩的個人可辨識資料,也可用於進一步的釣魚攻擊。

研究人員說,他們在 2021 年 2 月時就向 Pega 提報該漏洞的存在,也透過 HackerOne 漏洞公開計畫提報給 Ford。

  • 參考連結

Ford Breach, August 2021 Disclosure

https://robertwillishacking.com/ford-breach-august-2021-disclosure/

Pega CVE-2021-27653, March 2021

https://robertwillishacking.com/cve-2021-27653-march-2021/

Ford bug exposed customer and employee records from internal systems

https://www.bleepingcomputer.com/news/security/ford-bug-exposed-customer-and-employee-records-from-internal-systems/

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 Ford 汽車 資料 曝光 帳號權限
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄