Haberler

Ford Müşterilerinin ve Çalışanlarının Verileri Açığa Çıktı

Ford Motor Company’nin web sitesindeki bir hata, hassas sistemlere erişime ve müşteri veritabanları, çalışan kayıtları vb. gibi özel verilerin açığa çıkmasına sebep oldu.

Yaşanan veri sızıntısına, Ford’un sunucularında çalışan Pega Infinity müşteri etkileşim sisteminin yanlış yapılandırılmış bir örneği sebep oldu.

Veri hırsızlığından hesap ele geçirmelere kadar bir çok soruna sebep olabilir

Araştırmacılar, Ford’un web sitesinde, gizli şirket kayıtlarına ve veritabanlarına izinsiz giriş yapabilme ve hesap devralma işlemleri gerçekleştirmelerine olanak tanıyan bir güvenlik açığı keşfettiklerini açıkladılar.

Söz konusu güvenlik açığı Robert Willis ve break3r tarafından keşfedildi. Daha sonra, Sakura Samurai etik korsanlık grubu Aubrey Cottle, Jackson Henry ve John Jackson tarafından da güvenlik açığı hakkında destekleyici bilgiler açıklandı.

Yaşanan probleme, yanlış yapılandırılmış Pega Infinity müşteri yönetim sistemi örneklerindeki bir “bilgi teşhir etme” güvenlik açığı olan CVE-2021-27653 neden olduğu belirtiliyor.

Araştırmacılar, Ford’un dahili sistemlerine ve veritabanlarına ait birçok ekran görüntüsünü paylaştı. Örneğin, şirketin ticket sistemi aşağıda gösterilmiştir:

Ford ticket system exposed

Bu açıktan yararlanmak için bir saldırganın önce yanlış yapılandırılmış bir Pega Chat Access Group portal örneğinin arka uç web paneline erişmesi gerekir:

Panele erişim sağlandıktan saldırganlar, sorgu çalıştırma, veritabanı tablolarına erişme ve yönetim eylemleri gerçekleştirme gibi işlemleri yapabilmekteler.

Araştırmacılar, erişilebilen bilgileri hassas bilgiler içerdiğini açıkladı. Hata sebebiyle şu gibi bilgilere erişilebiliyor:

  • Müşteri ve çalışan kayıtları
  • Banka hesap numaraları
  • OAuth erişim tokenları
  • Dahili destek ticketları
  • Kuruluş içindeki kullanıcı profilleri
  • Dahili arayüzler
  • Arama çubuğu geçmişi

Willis bir blog gönderisinde, “Hatanın sebep olduğu etkinin ölçeği çok büyük. Saldırganlar, bozuk erişim denetiminde tanımlanan güvenlik açıklarını kullanabilir ve hassas kayıtlar elde edebilir, hesapları ele geçirebilir ve önemli miktarda veri elde edebilir” ifadelerini kullandı.

Ford yetkililerinin iletişimi “zayıf ve soluk” oldu

Araştırmacılar Şubat 2021’de, sohbet portallarında CVE’yi nispeten hızlı bir şekilde düzeltebilecek bulgularını Pega’ya bildirmişlerdi.

Sorun aynı zamanda HackerOne güvenlik açığı açıklama programı aracılığıyla da Ford’a bildirildi.

Ancak araştırmacılar, Ford’un söz konusu hata ile ilgili iletişiminin zayıf ve soluk olduğunu söyledi.

John Jackson, bir e-posta röportajında verdiği demeçte, “Bir noktada, sorularımızı yanıtlamayı tamamen bıraktılar. Ford’dan güvenlik açığı bildirimimize dair aldığımız ilk yanıt HackerOne arabuluculuğu gerektirdi.”

Kaynak: bleepingcomputer.com

Diğer Haberler

Windows 365, Microsoft Azure Kimlik Bilgilerini Tehlikeye Atıyor
Oracle Database 21C artık indirilebilir.
Türk Telekom 13 İl İçin Planlı Çalışma Yapacağını Duyurdu

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu