Ford bug exposed customer and employee records from internal systems
2021/08/15 BleepingComputer — Ford Motor Company の Web サイトのバグにより、機密システムへのアクセスが可能となり、顧客データベースや、従業員記録、社内チケットなどの、プロプライエタリ・データを窃取された。このデータ流出は、Ford のサーバー上で稼働している、顧客エンゲージメント・システム Pega Infinity のインスタンスが、誤って設定されていたことに起因している。
データの流出からアカウントの乗っ取りまで
今週のこと、研究者たちは、Ford の Web サイトで発見された脆弱性を公開した。この脆弱性を悪用することで、機密記録やデータベースの不正参照や、アカウント乗っ取りが可能になる。この脆弱性は、Robert Willis と break3r により発見され、倫理的ハッキング・グループ Sakura Samurai のメンバーである、Aubrey Cottle と Jackson Henry と John Jackson が検証し、サポートした。この問題は、不適切に設定された Pega Infinity 顧客管理システムのインスタンスにおける、情報露出の脆弱性である CVE-2021-27653 により引き起こされた。研究者たちは、Ford の社内システムやデータベースのスクリーンショットを、BleepingComputer に多数公開した。攻撃者が、この問題を悪用するには、誤って設定された Pega Chat Access Group ポータル・インスタンスの、バックエンド Web パネルにアクセスする必要がある。BleepingComputer が示すように、URL を引数として取り込んだ個別のペイロードにより、攻撃者は、クエリーの実行および、データベース・テーブルの取得、OAuth アクセストークンの取得、管理者アクションの実行などが可能になるという。研究者たちによると、公開された資産の中には、以下のような機密性の高い個人識別情報 (PII) が含まれているとのことだ。
• Customer and employee records
• Finance account numbers
• Database names and tables
• OAuth access tokens
• Internal support tickets
• User profiles within the organization
• Pulse actions
• Internal interfaces
• Search bar history
Robert Willis はブログにおいて、「今回の影響は甚大だ。攻撃者は、アクセス・コントロールを破壊したうえで脆弱性を悪用し、大量のデータと機密記録の入手や、アカウント乗っ取りを実行した」と述べている。
強制開示に6カ月を要した
2021年2月に、研究者たちは調査結果を Pega に報告し、同社による CVE の修正は素早く行われた。同じ時期に、この問題は、Ford の HackerOne 脆弱性開示プログラムを通じて、同社にも報告された。しかし、研究者たちは BleepingComputer に対し、Ford からの連絡は内容のないものであり、責任ある開示のタイムラインが進むにつれ、さらに希薄になっていったと述べている。Jackson Henry は BleepingComputer のメールインタビューにおいて、「ある時点で、私たちの質問に完全に答えてくなった。Ford からの脆弱性に関する最初の回答を得るために、HackerOne の仲介が必要だった」と述べている。John Jackson によると、情報公開の時期がさらに進むと、研究者たちは欠陥についてツイートした後にのみ、HackerOne の返信を受けたそうだが、機密情報は一切教えてもらえなかったようだ。からは、「脆弱性が解決済みとされたとき、Ford は私たちの開示要求を無視した。その後に、HackerOne 調停は、PDF に記載されている開示要求を無視した。私たちは、法的な問題や悪影響を考慮し、HackerOne のポリシーに従うことで、強制的開示まで6ヶ月間待つ必要があった」と続けている。
現時点では、Ford の脆弱性開示プログラムは、金銭的なインセンティブやバグバウンティを提供していないため、公共の利益を考慮した協調的な開示が、研究者が期待する唯一の “報酬 “である。BleepingComputer に開示された報告書のコピーには、「提出された調査結果は非公開のものと見なされる。これらの脆弱性レポートは、開示が必要になる可能性のある、侵害を防ぐことを目的としている」と記され、Ford はセキュリティ関連の具体的な行動についてコメントを控えている。このエンドポイントは、報告が行われてから 24時間以内に、Ford によりオフラインにされたが、研究者は同じ報告書の中で、その後もエンドポイントへのアクセス可能な状態であったとコメントし、再度レビューと修正を要求している。なお、この脆弱性を悪用して、Ford のシステムに侵入した脅威者がいるかどうか、また、顧客や従業員の機密情報にアクセスしたかどうかは、まだ判明していない。BleepingComputer では、この記事を発表する前に、Ford に対して何度も問い合わせたが、回答は得られなかった。
残念なことに、Ford という企業は、いまのインターネットとセキュリティの関係を、そして、脆弱性と研究者の関係を、上手く理解できていないようですね。以前にポストした、「脆弱性における研究者とベンダーのベストな関係とは?」という記事を読むと、長い時間をかけてベンダーと研究者が歩み寄ってきた経緯が見えてきます。本来であれば、謝意を持つべきベンダーやメーカーが、研究者たちを邪魔者にするという歴史があったようです。そして、いまも変わらない企業もあるのです。
IoT OT Security News 