Aufgrund eines Fehlers in der CRM-Software des Autoherstellers konnten Sicherheitsforscher auf der Ford-Website auf vertrauliche Unternehmens- und Mitarbeiterdaten, Kundendatenbanken, interne Tickets und mehr zugreifen. Wie BleepingComputer berichtete, entdeckten die Sicherheitsforscher Robert Willis und break3r zunächst die Schwachstelle auf der Website des Unternehmens, bevor sie Mitglieder der Ethical-Hacking-Gruppe Sakura Samurai für weitere Unterstützung rekrutierten. Der Fehler selbst, protokolliert als CVE-2021-27653, ist eine Sicherheitslücke bezüglich der Offenlegung von Informationen, die in falsch konfigurierten Instanzen von Pega Infinity besteht, die auf den Servern von Ford ausgeführt werden. Um es auszunutzen, müsste ein Angreifer zunächst auf das Haupt-Webpanel einer falsch konfigurierten Pega Chat Access Group-Portalinstanz zugreifen. In einem Blogbeitrag lieferte Robert Willis zusätzliche Informationen zu den Auswirkungen der Sicherheitslücke und wie sie Sicherheitsforschern die Durchführung von Kontoübernahmen ermöglichte, indem er erklärte: „Die Auswirkungen waren weitreichend.“ Angreifer könnten die in der fehlerhaften Zugriffskontrolle identifizierten Schwachstellen ausnutzen und sich eine Menge sensibler Datensätze verschaffen, Konten übernehmen und erhebliche Datenmengen beschaffen.
Offenlegung von Sicherheitslücken
Während Sicherheitsforscher ihre Erkenntnisse im Februar dieses Jahres an Pega weitergaben und das Unternehmen die Schwachstelle schnell auf seinem Chat-Portal behebte, zeigte sich Ford nicht so kooperativ, als das Problem dem Autohersteller über sein Offenlegungsprogramm für HackerOne-Schwachstellen gemeldet wurde. John Jackson von Sakura Samurai erklärte in einer E-Mail an BleepingComputer, dass Ford irgendwann aufgehört habe, Fragen des Sicherheitsforschers zu beantworten. Tatsächlich musste HackerOne eingreifen, um eine erste Antwort auf die Schwachstellenmeldung an das Unternehmen zu erhalten. Doch erst als Sicherheitsforscher auf der Website von Ford über die Sicherheitslücke twitterten, ohne sensible Details zu erwähnen, hörte HackerOne zu. Letztendlich mussten Sicherheitsforscher jedoch aufgrund der HackerOne-Richtlinie ganze sechs Monate warten, bevor sie die Schwachstelle offenlegten. Es ist zu beachten, dass Ford über kein Bug-Bounty-Programm verfügt und daher kein finanzieller Anreiz bestand, die Sicherheitslücke offenzulegen. Stattdessen taten sie es aus Sorge um die Kunden des Autoherstellers. Derzeit ist noch unklar, ob sich Cyberkriminelle oder andere Dritte aufgrund der Sicherheitslücke Zugang zu sensiblen Unternehmens- und Kundendaten verschafft haben, die auf der Website von Ford offengelegt werden. Über BleepingComputer