福特汽車公司網站上的一個漏洞允許訪問敏感系統并獲取專有數據，例如客戶數據庫、員工記錄、內部票證等。

　　數據泄露源于福特服務器上運行的Pega Infinity客戶參與系統的錯誤配置實例。

　　從數據泄露到賬戶接管

　　本周，研究人員披露了在福特網站上發現的一個漏洞，讓他們可以窺視公司機密記錄、數據庫并執行帳戶接管。

　　該漏洞由Robert Willis和break3r發現， 并得到了Sakura Samurai白帽子黑客組織成員Aubrey Cottle、Jackson Henry和John Jackson 的進一步驗證和支持 。

　　該問題是由CVE-2021-27653引起的，這是一個信息泄露漏洞，存在于配置不當的Pega Infinity客戶管理系統實例中。

　　研究人員與外媒分享了福特內部系統和數據庫的許多截圖。例如，該公司的票務系統如下圖所示：

　　圖片福特的內部票務系統暴露給研究人員

　　要利用該問題，攻擊者首先必須訪問配置錯誤的Pega Chat Access Group 門戶實例的后端 Web 面板：

　　https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/

　　bD8qH******bIw4Prb*/!RPACHAT/$STANDARD…

　　正如我們所見，作為URL參數提供的不同負載可能使攻擊者能夠運行查詢、檢索數據庫表、OAuth 訪問令牌和執行管理操作。

　　研究人員表示，一些暴露的資產包含敏感的個人身份信息 （PII），包括：

　　客戶和員工記錄

　　財務賬號

　　數據庫名稱和表

　　OAuth訪問令牌

　　內部支持票

　　組織內的用戶個人資料

　　脈沖動作

　　內部接口

　　搜索欄歷史

　　“影響規模很大。攻擊者可以利用在被破壞的訪問控制中發現的漏洞，獲取大量敏感記錄，執行帳戶接管，并獲取大量數據，”威利斯在一篇博客文章中寫道。

　　花了六個月的時間“強制披露”

　　2021年2月，研究人員向Pega報告了他們的發現，他們相對較快地修復了聊天門戶中的CVE。大約在同一時間，這個問題也通過他們的HackerOne漏洞披露計劃報告給了福特。

　　但是，研究人員透露，隨著負責任的披露時間表的推進，來自福特的交流變得越來越少：

　　“有一次，他們完全停止回答我們的問題。經過HackerOne的調解，我們才得到福特對我們提交的漏洞的初步回應，”約翰杰克遜在電子郵件采訪中透露。

　　杰克遜表示，隨著披露時間表的進一步推進，研究人員僅在發布有關該漏洞的推文后才收到HackerOne的回復，但沒有提供任何敏感細節：

　　“當漏洞被標記為已解決時，福特忽略了我們的披露請求。隨后，HackerOne 調解忽略了我們的幫助披露請求，這可以在PDF中看到。”“出于對法律和負面影響的恐懼，我們不得不等待整整六個月才能根據HackerOne的政策強制披露，”杰克遜繼續說道。目前，福特的漏洞披露計劃不提供金錢激勵或漏洞獎勵，因此根據公眾利益進行協調披露是研究人員唯一希望的“獎勵”。

　　與外界共享的披露報告副本表明，福特沒有對特定的安全相關行為發表評論。“你提交的調查結果……被認為是私人的。這些漏洞報告旨在防止可能需要披露的妥協。”根據PDF中的討論，福特與HackerOne和研究人員分享說：“在這種情況下，系統在您將發現提交給HackerOne后不久就離線了。”

　　盡管端點在報告后24小時內被福特下線，但研究人員在同一份報告中評論說，即使在此之后端點仍然可以訪問，并要求再次審查和補救。目前尚不清楚是否有任何威脅行為者利用該漏洞破壞福特的系統，或者是否訪問了敏感的客戶/員工 PII。

　　福特對此未對外界進行置評。