Vulnerability in Toyota Management Platform Provided Access to Customer Data
2023/03/07 SecurityWeek — Toyota Customer 360 という CRM (Customer Relationship Management) プラットフォームに、深刻な脆弱性が存在していたことが判明した。この脆弱性を発見したセキュリティ研究者によると、メキシコの顧客の個人情報にアクセスが可能だったという。この Web アプリケーションは、組織全体として顧客データを集約しており、個人情報/購入履歴/サービス内容などの、全ての顧客情報を一元的に把握するためのものだ。
米国在住の研究者 Eaton Zveare は、この CRM を分析する中で、本番データにアクセスできることを発見した。その手順は、トヨタが展開している、このプラットフォームの5つのバージョン (開発用3つ/テスト用1つ/本番用1つ) のうちの、開発用アプリを改変することだった。
最終的に Zveare は、アプリケーションの認証をバイパスして、氏名/住所/電話番号/Eメール/車両履歴/購入履歴/サービス内容/納税者番号などの、顧客データへのアクセスに成功した。
彼が発見したのは、本番ページにアクセスしようとすると 403 request blocked というエラーメッセージが表示されるが、開発/テスト用 Web アプリケーションの Angular JavaScript コードを変更することで、認証をバイパスできることだった。
次に、ロードするスピナーの設定により公開されている API エンドポイントを特定し、開発用アプリケーションを更新し、代わりに本番用 API を使用できた。
Zveare によると、その API は認証トークンを必要とせず、整形式のリクエストを送信すればデータを返したとのことだ。本番アプリケーションをロックすることで保護できるはずだったが、開発アプリケーションに含まれた API は、すべての環境で公開されていたという。
彼は、「本番および品質評価の API エンドポイントは Amazon API Gateway を使用しているが、開発アプリのコードに含まれていなければ、発見は不可能だったと思われる。しかし、ログイン・バイパスと API の変更が行われたことで、本番データへのアクセスが可能になった」と指摘している。
このアプリケーションへのアクセスに成功すると、名前/電話番号/ID/Eメールなどで顧客データを検索できたが、アプリケーションはユーザーリストを公開しておらず、CRM に登録されている顧客の数は把握することができなかったという。
2022年10月30日に Zveare は、この問題についてトヨタ自動車に報告しており、同社は3週間も経たないうちに脆弱性を修正した。 彼は、「トヨタは、いくつかのサイトをオフラインにして、認証トークンを要求する形態へと API を更新することで、この問題を解決した」と説明している。
先月にも Zveare は、トヨタの GSPIMS (Global Supplier Preparation Information Management System) の Web ポータルにおける、数千の従業員/パートナーのユーザー・アカウントへのアクセスを提供し、機密データの流出/改ざんを可能にする脆弱性も公表している。
開発環境でテストしていた API エンドポイントから、本番用の API エンドポイントへとたどり着き、そこからのハッキングが可能になったという、とても重要な情報が得られたわけです。こうした侵入ベクターが解明され、広く共有されていくことは、とても意味深いことだと思います。Toyota と Zveare さんに拍手です。なお、文中の GSPIMS の件については、2023/02/07 の「TOYOTA サプライヤー・ポータルに侵入:機密データへのアクセス方法を研究者が報告」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.