按 Enter 到主內容區
:::

TWCERT-電子報

:::

Ford 汽車內部顧客與員工資料,因系統錯誤而於網上曝光

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-08-26
  • 點閱次數:440
Ford 汽車內部顧客與員工資料,因系統錯誤而於網上曝光 TWCERT/CC

美國 Ford 汽車公司,由於內部客服管理系統的設定錯誤,造成部分員工與顧客的相關資料在網路上曝光可供存取。

美國 Ford (福特)汽車公司日前發生資料安全控管事件,由於內部客服管理系統的設定錯誤,造成部分員工與顧客的相關資料在網路上曝光,可供有心人士直接存取,甚至取得帳號權限。

資安研究人員在美國 Ford 汽車官方網站中發現一個漏洞,可以經由此漏洞進入 Ford 內部伺服器上執行的 Pega Infinity 顧客互動管理系統內,取得諸如用戶資料庫、員工各項記錄與內部派工單等機敏資訊。

研究人員利用 Pega Infinity 一個錯誤設定的漏洞(CVE-2021-27653),透過 Pega Infinity 的客服人員線上對談控制台,即可利用此漏洞存取 Ford 內部的各種系統與資料庫。

研究人員指出,透過這種方法可以取得相當多個人可識別(Personally Identifiable Information, PII),包括以下項目:

  • 顧客與員工記錄
  • 金融服務帳號
  • 資料庫名稱與表格
  • OAuth 存取 token
  • 內部支援工單
  • 附有組織名稱的用戶檔案
  • 內部操作介面
  • 搜尋列的搜尋記錄

研究人員指出,這些資料外洩可能會對該公司帶來極大衝擊;有心人士可以利用此漏洞,發動進一步的資安攻擊,例如植入更多惡意軟體,以及取得系統控制權之外,外洩的個人可辨識資料,也可用於進一步的釣魚攻擊。

研究人員說,他們在 2021 年 2 月時就向 Pega 提報該漏洞的存在,也透過 HackerOne 漏洞公開計畫提報給 Ford。

回頁首