近日，福特汽車被曝存在一個較為嚴重的安全漏洞，黑客可通過該漏洞訪問其配置錯誤的Pega Infinity系統(tǒng)，從而獲取包括客戶數據庫、員工記錄、內部票證等在內的專有數據信息。黑客還可以借此執(zhí)行賬戶接管操作。

　　從數據泄露到賬戶接管

　　該漏洞由Robert Willis 和 break3r發(fā)現， 并得到了Sakura Samurai組織成員Aubrey Cottle、Jackson Henry和John Jackson的進一步驗證和支持 。

　　該問題是由CVE-2021-27653漏洞引起的，它是一個信息泄露漏洞，存在于福特公司配置不當的Pega Infinity客戶管理系統(tǒng)中。研究人員分享了該系統(tǒng)和數據庫的許多截圖。例如，該公司的票務系統(tǒng)如下圖所示：

　　福特的內部票務系統(tǒng)

　　要利用該漏洞，攻擊者首先必須訪問配置錯誤的Pega Chat Access Group用戶的后端Web面板：

　　作為URL參數提供的不同負載可能使攻擊者能夠運行查詢、檢索數據庫表、獲取OAuth訪問令牌和執(zhí)行管理操作。

　　研究人員表示，泄露的數據資產包含敏感的個人身份信息：

　　客戶和員工記錄

　　財務賬號

　　數據庫名稱和表

　　OAuth訪問令牌

　　內部支持票

　　組織內的用戶個人資料

　　脈沖動作

　　內部接口

　　搜索欄歷史

　　耗時六個月才被披露

　　早在2021年2月，研究人員就向Pega報告了他們的發(fā)現，并盡快地修復了聊天門戶中的CVE漏洞。大約在同一時間，這個問題也通過他們的HackerOne漏洞披露計劃報告給了福特。

　　Jackson表示，隨著披露時間表的進一步推進，研究人員在發(fā)布有關該漏洞的推文后收到了HackerOne的回復，但沒有提供任何敏感細節(jié)：

　　研究人員等待了六個月后才得到了該漏洞的披露詳情。目前，福特的漏洞披露計劃不提供金錢激勵或漏洞獎勵，因此根據公共利益進行協(xié)調披露是研究人員希望的唯一“獎勵”。

　　目前，福特并沒有對本次事件的特定安全相關行為發(fā)表評論。雖然福特宣稱在接到報告后24小時內關閉了端點，但研究人員指出，他們在福特宣稱關閉了端點之后發(fā)現此端點仍可訪問，并要求福特再次審查并采取緩解措施。

　　目前尚不清楚是否有任何攻擊者利用該漏洞破壞福特的系統(tǒng)，或者是否訪問了客戶或福特員工的個人身份信息。