Bug no site da Ford expôs registros de clientes e funcionários

1 min de leitura
Imagem de: Bug no site da Ford expôs registros de clientes e funcionários
Imagem: Unsplash
Avatar do autor

Uma vulnerabilidade no site da Ford permitia acessar áreas confidenciais da plataforma para extrair dados de clientes da montadora e registros de funcionários, entre outras informações. O bug foi descoberto pelo especialista em segurança cibernética Robert Willis, em parceria com o grupo de hackers éticos Sakura Samurai.

A exposição de dados era causada por uma configuração incorreta no software Pega Infinity em execução nos servidores da Ford, conforme relatou o BleepingComputer nesse domingo (15). Para explorar a falha, o invasor precisava acessar o painel de back-end do serviço de chat fornecido pela Pega, podendo executar ações administrativas em seguida.

Os pesquisadores disseram que o banco de dados exposto continha informações sobre clientes e funcionários, números de contas bancárias e tokens de acesso ao site. Perfis de usuários da organização, o histórico da barra de pesquisa e o sistema de emissão de bilhetes internos também estavam acessíveis.

Os pesquisadores conseguiram acessar o sistema de emissão de bilhetes internos da Ford explorando a falha.Os pesquisadores conseguiram acessar o sistema de emissão de bilhetes internos da Ford explorando a falha.Fonte:  BleepingComputer/Reprodução 

“O impacto foi de grande escala. Os invasores podiam usar as vulnerabilidades identificadas no controle de acesso quebrado e obter uma grande quantidade de registros confidenciais, realizar invasões de conta e obter uma quantidade substancial de dados”, explicou Willis em seu blog.

Falha corrigida

A descoberta do bug foi relatada à Pega em fevereiro deste ano, que fez a correção em seu programa. A montadora também recebeu informações sobre o problema na mesma época, mas teria demorado cerca de seis meses para divulgar a ocorrência, de acordo com os especialistas envolvidos no caso.

O sistema afetado pelo bug teria sido desativado assim que a Ford recebeu o comunicado por meio do seu programa HackerOne. No entanto, os pesquisadores afirmam que a plataforma comprometida continuava acessível depois disso, sendo necessário solicitar uma segunda revisão e correção.

A companhia sediada em Dearborn (Estados Unidos) não revelou se a falha em questão chegou a ser explorada por cibercriminosos.