Ford 汽車內部顧客與員工資料,因系統錯誤而於網上曝光
- 發布單位:TWCERT/CC
- 更新日期:2021-08-26
- 點閱次數:551
美國 Ford 汽車公司,由於內部客服管理系統的設定錯誤,造成部分員工與顧客的相關資料在網路上曝光可供存取。
美國 Ford (福特)汽車公司日前發生資料安全控管事件,由於內部客服管理系統的設定錯誤,造成部分員工與顧客的相關資料在網路上曝光,可供有心人士直接存取,甚至取得帳號權限。
資安研究人員在美國 Ford 汽車官方網站中發現一個漏洞,可以經由此漏洞進入 Ford 內部伺服器上執行的 Pega Infinity 顧客互動管理系統內,取得諸如用戶資料庫、員工各項記錄與內部派工單等機敏資訊。
研究人員利用 Pega Infinity 一個錯誤設定的漏洞(CVE-2021-27653),透過 Pega Infinity 的客服人員線上對談控制台,即可利用此漏洞存取 Ford 內部的各種系統與資料庫。
研究人員指出,透過這種方法可以取得相當多個人可識別(Personally Identifiable Information, PII),包括以下項目:
- 顧客與員工記錄
- 金融服務帳號
- 資料庫名稱與表格
- OAuth 存取 token
- 內部支援工單
- 附有組織名稱的用戶檔案
- 內部操作介面
- 搜尋列的搜尋記錄
研究人員指出,這些資料外洩可能會對該公司帶來極大衝擊;有心人士可以利用此漏洞,發動進一步的資安攻擊,例如植入更多惡意軟體,以及取得系統控制權之外,外洩的個人可辨識資料,也可用於進一步的釣魚攻擊。
研究人員說,他們在 2021 年 2 月時就向 Pega 提報該漏洞的存在,也透過 HackerOne 漏洞公開計畫提報給 Ford。