福特汽車公司網站上的一個漏洞允許訪問敏感系統(tǒng)并獲取專有數(shù)據,，例如客戶數(shù)據庫,、員工記錄、內部票證等,。

　　數(shù)據泄露源于福特服務器上運行的Pega Infinity客戶參與系統(tǒng)的錯誤配置實例,。

　　從數(shù)據泄露到賬戶接管

　　本周,，研究人員披露了在福特網站上發(fā)現(xiàn)的一個漏洞，讓他們可以窺視公司機密記錄,、數(shù)據庫并執(zhí)行帳戶接管,。

　　該漏洞由Robert Willis和break3r發(fā)現(xiàn)， 并得到了Sakura Samurai白帽子黑客組織成員Aubrey Cottle,、Jackson Henry和John Jackson 的進一步驗證和支持 ,。

　　該問題是由CVE-2021-27653引起的，這是一個信息泄露漏洞,，存在于配置不當?shù)腜ega Infinity客戶管理系統(tǒng)實例中,。

　　研究人員與外媒分享了福特內部系統(tǒng)和數(shù)據庫的許多截圖。例如,，該公司的票務系統(tǒng)如下圖所示：

　　圖片福特的內部票務系統(tǒng)暴露給研究人員

　　要利用該問題,，攻擊者首先必須訪問配置錯誤的Pega Chat Access Group 門戶實例的后端 Web 面板：

　　https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/

　　bD8qH******bIw4Prb*/!RPACHAT/$STANDARD…

　　正如我們所見，作為URL參數(shù)提供的不同負載可能使攻擊者能夠運行查詢,、檢索數(shù)據庫表,、OAuth 訪問令牌和執(zhí)行管理操作。

　　研究人員表示,，一些暴露的資產包含敏感的個人身份信息 （PII）,，包括：

　　客戶和員工記錄

　　財務賬號

　　數(shù)據庫名稱和表

　　OAuth訪問令牌

　　內部支持票

　　組織內的用戶個人資料

　　脈沖動作

　　內部接口

　　搜索欄歷史

　　“影響規(guī)模很大。攻擊者可以利用在被破壞的訪問控制中發(fā)現(xiàn)的漏洞,，獲取大量敏感記錄,，執(zhí)行帳戶接管，并獲取大量數(shù)據,，”威利斯在一篇博客文章中寫道,。

　　花了六個月的時間“強制披露”

　　2021年2月，研究人員向Pega報告了他們的發(fā)現(xiàn),，他們相對較快地修復了聊天門戶中的CVE,。大約在同一時間，這個問題也通過他們的HackerOne漏洞披露計劃報告給了福特,。

　　但是,，研究人員透露，隨著負責任的披露時間表的推進,，來自福特的交流變得越來越少：

　　“有一次,，他們完全停止回答我們的問題。經過HackerOne的調解,，我們才得到福特對我們提交的漏洞的初步回應,，”約翰杰克遜在電子郵件采訪中透露。

　　杰克遜表示,，隨著披露時間表的進一步推進,，研究人員僅在發(fā)布有關該漏洞的推文后才收到HackerOne的回復，但沒有提供任何敏感細節(jié)：

　　“當漏洞被標記為已解決時,，福特忽略了我們的披露請求,。隨后，HackerOne 調解忽略了我們的幫助披露請求,，這可以在PDF中看到,。”“出于對法律和負面影響的恐懼,，我們不得不等待整整六個月才能根據HackerOne的政策強制披露,，”杰克遜繼續(xù)說道。目前,，福特的漏洞披露計劃不提供金錢激勵或漏洞獎勵,，因此根據公眾利益進行協(xié)調披露是研究人員唯一希望的“獎勵”。

　　與外界共享的披露報告副本表明,，福特沒有對特定的安全相關行為發(fā)表評論,。“你提交的調查結果……被認為是私人的,。這些漏洞報告旨在防止可能需要披露的妥協(xié),。”根據PDF中的討論,，福特與HackerOne和研究人員分享說：“在這種情況下,，系統(tǒng)在您將發(fā)現(xiàn)提交給HackerOne后不久就離線了?！?/p>

　　盡管端點在報告后24小時內被福特下線,，但研究人員在同一份報告中評論說,，即使在此之后端點仍然可以訪問，并要求再次審查和補救,。目前尚不清楚是否有任何威脅行為者利用該漏洞破壞福特的系統(tǒng),，或者是否訪問了敏感的客戶/員工 PII。

　　福特對此未對外界進行置評,。