Klant- en bedrijfsgegevens toegankelijk door bug op website Ford

Logo van autofabrikant Ford op een stuur

Door een verkeerde instelling bij Ford Motor hadden hackers vrij spel om allerlei bedrijfs- en privacygevoelige te raadplegen. Kwaadwillenden hadden toegang tot de databases met klantgegevens, privégegevens van medewerkers, het interne ticketsysteem en concurrentiegevoelige informatie. Tevens was het mogelijk om accounts van klanten en medewerkers van afstand over te nemen.

Dat meldt BleepingComputer.

Klant- en bedrijfsgegevens lagen voor het oprapen

Het lek kwam deze week aan het licht door de onthulling van securityspecialist Robert Willis en white hat hacker break3r. Hun bevindingen werden gecontroleerd en gevalideerd door leden van de ethische hackersgroep Sakura Samurai. Door een verkeerde configuratie in het Pega Infinity customer engagement systeem, waar de servers van Ford op draaien, waren klant- en bedrijfsgegevens toegankelijk. De kwetsbaarheid is omgedoopt tot CVE-2021-27653.

Om misbruik te kunnen maken van deze exploit, moest een aanvaller toegang hebben tot het backend web panel van een foutief ingestelde Pega Chat Access groepsportaal. Door een payload af te leveren konden hackers zoekopdrachten uitvoeren, gegevens uit de databases onttrekken, toegangstokens bemachtigen en ‘administratieve handelingen’ uitvoeren.

Op deze manier lagen privégegevens van klanten en medewerkers voor het oprapen. Volgens de beveiligingsonderzoekers ging het om uiterst gevoelige gegevens die herleidbaar waren tot individuele mensen. Ook financiële gegevens, gebruikersprofielen en zoekgeschiedenis van Ford-medewerkers en het interne ticketsysteem van de klantenservice waren toegankelijk voor hackers en andere kwaadwillenden.

“De impact was groot. Aanvallers konden gebruik maken van de kwetsbaarheden die in de gebroken toegangscontrole waren geïdentificeerd en troepen van gevoelige dossiers bemachtigen, accountovernames uitvoeren en een aanzienlijke hoeveelheid gegevens bemachtigen”, zo schrijft Robert Willis op zijn blog over het onderwerp.

Ontdekkers mochten maandenlang niks zeggen over de kwetsbaarheid

Het beveiligingslek werd in februari van dit jaar ontdekt door de securityspecialist en ethische hacker. Zij gaven dit door aan Pega, die het op zijn beurt snel dichtte. Via het HackerOne vulnerability disclosure programma stelden de ontdekkers Ford op de hoogte. De communicatie met de autofabrikant verliep allesbehalve soepel, zo vertellen ze tegenover BleepingComputer. “Op een gegeven moment kregen we helemaal geen reactie meer op onze vragen. Enkel door bemiddeling van HackerOne kregen we een eerste reactie op de door ons ontdekte kwetsbaarheid van Ford”, zegt John Jackson van Sakura Samurai.

Toen het lek aan het daglicht was gebracht door de beveiligingsonderzoekers, vroegen ze aan Ford of ze er openlijk over mochten schrijven. Maandenlang reageerde Ford niet op dit verzoek. Mediatie door HackerOne bood eveneens geen uitkomst. Jackson zegt dat ze gedwongen werden om zes maanden te wachten voordat ze iets over het lek mochten zeggen. Volgens de voorwaarden van het vulnerability disclosure programma van Ford hoeft het bedrijf na een half jaar niet langer geld uit te keren voor kwetsbaarheden en beveiligingsrisico’s. In een reactie vertelde Ford dat de bevindingen van de onderzoekers een interne aangelegenheid waren en ‘als privé worden beschouwd’.

Of hackers of andere kwaadwillenden daadwerkelijk klantgegevens of bedrijfsinformatie hebben geraadpleegd of gestolen, is onbekend. Ford wilde niet reageren op het verhaal.

Volkswagen waarschuwt klanten voor phising en identiteitsfraude

Ford is niet de enige autofabrikant waar de informatiebeveiliging niet op orde was. In juni slaagden hackers erin om klantgegevens te stelen van Amerikaanse en Canadese klanten die bij Volkswagen of Audi een auto hadden gekocht. Een leverancier waar Volkswagen zaken mee doet verzamelde tussen 2014 en 2019 klantgegevens van Amerikaanse en Canadese autokopers voor verkoop- en marketingdoeleinden. Hackers slaagden erin om gegevens van 3,3 miljoen klanten te bemachtigen. Volkswagen wilde niet bevestigen of dit aantal klopte, maar erkende dat ‘beperkte persoonlijke informatie’ is buitgemaakt door onbevoegden.

Bij het datalek werden veel persoonlijke gegevens buitgemaakt. Naast voor- en achternamen, woon- en e-mailadressen en telefoonnummers, wisten de aanvallers ook kentekengegevens te achterhalen. Bij een groep van 90.000 klanten zijn nog meer privacygevoelige gegevens buitgemaakt, waaronder geboortedata, identificatienummers en informatie over verkochte auto’s. Ook financiële gegevens die klanten moesten verstrekken om hun liquiditeit aan te tonen belandden in de handen van de daders.

De dataset bevatte 1,8 miljoen eenheden informatie over verkochte wagens en ruim 3,8 miljoen leads. Deze werd te koop aangeboden op het dark web voor 4.000 tot 5.000 dollar. Volkswagen waarschuwde klanten voor phishing en identiteitsfraude.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen