Ford: un bug del sito ha esposto dati sensibili
Come confermato da un report di BleepingComputer, il sito di Ford ha (ovviamente) in maniera involontaria esposto dati sensibili nel corso di quest’anno.
Il sito di Ford ha recentemente giocato un brutto scherzo ai clienti e dipendenti della compagnia, visto che diversi dati sono stati esposti pubblicamente, e dei ricercatori della sicurezza hanno avuto modo di accedervi. Parliamo nello specifico di dati dal database degli acquirenti, come anche di credenziali dei dipendenti e di ticket interni, ma come spiegato da TechRadar c’è anche molto altro.
La segnalazione del tutto è arrivata da BleepingComputer, con i ricercatori della sicurezza Robert Willis e break3r che hanno scoperto la vulnerabilità. Il problema è stato tracciato come CVE-2021-27653, e pare sia nato da un bug nell’automaker del software CRM. Di seguito le parole di Robert Willis, che in un post ha spiegato più dettagliatamente la questione:
L’impatto è stato su larga scala. Gli attaccanti avrebbero potuto usare le vulnerabilità identificate nel controllo degli accessi rotto, ottenere registrazione sensibili, rubare account e garantirsi anche un grosso ammontare di dati.
Come spiegato da BleepingComputer, la società Pega è stata avvisata del problema a febbraio di quest’anno, ma pare che la comunicazione con Ford non sia stata esaustiva quando il tutto è stato segnalato attraverso il programma HackerOne. John Jackson di Sakura Samurai ha infatti sottolineato che anzi dopo tempo la compagnia ha iniziato a ignorare la situazione, non rispondendo ulteriormente alle questioni poste.
Pare inoltre che in seguito all’individuazione del tutto, i ricercatori non abbiano ricevuto risposta da Ford neanche per quanto concerne la divulgazione del tutto, con il solo fine di informare il mondo della breccia (vista l’assenza di un programma di ricompense). Per via della politica di HackerOne, che ha ignorato la questione allo stesso modo, è stato necessario aspettare quindi ben 6 mesi.
Non è attualmente chiaro se degli hacker siano riusciti a individuare il problema e a sfruttarlo al fine di rubare dati sensibili, e speriamo che nel corso delle prossime settimane non arrivino aggiornamenti negativi in tal senso.