Una falla recientemente detectada en el sitio web de Ford Motor Company habría permitido a los actores de amenazas acceder a información confidencial, incluyendo bases de datos de clientes, expedientes de empleados y otros detalles internos. Al parecer, este incidente fue producto de una instancia mal configurada del cliente Pega Infinity, ejecutado en los servidores de la compañía automotriz.
Un grupo de investigadores reveló la detección de una vulnerabilidad en el sitio web de Ford cuya explotación brindaba acceso a registros confidenciales de la compañía, bases de datos y toda clase de detalles resguardados por Ford. Este grupo está integrado por Robert Willis y la unidad especializada Sakura Samurai, compuesta por Aubrey Cottle, Hackson Henry y John Jackson.
La falla fue identificada como CVE-2021-27653 y descrita como una vulnerabilidad de exposición de información en instancias del sistema de administración de clientes de Pega Infinity. Los investigadores compartieron múltiples capturas de pantalla de los sistemas internos y las bases de datos de Ford.
Los hackers que deseen explotar esta falla primero tendrían que acceder al panel web backend de una instancia de Pega Chat Access Group mal configurada. Las diferentes cargas útiles proporcionadas como argumentos de URL podrían permitir a los atacantes ejecutar consultas, recuperar tablas de bases de datos, tokens de acceso OAuth y realizar acciones administrativas. Entre los registros confidenciales se encuentran detalles como:
- Registros de clientes y empleados
- Números de cuenta bancaria
- Bases de datos
- Tokens de acceso OAuth
- Tickets de soporte interno
- Perfiles de usuarios
- Interfaces internas
- Historial de la barra de búsqueda
Los problemas fueron notificados a Ford y Pega Infinity en febrero de 2021 a través de sus equipos de seguridad y de la plataforma HackerOne. No obstante, los investigadores mencionan que la comunicación con Ford no fue del todo buena y que incluso la compañía retrasó la divulgación pública de estas fallas: “En un momento dado, dejaron de responder por completo a nuestras preguntas. Se necesitó la mediación de HackerOne para obtener una respuesta inicial sobre nuestra presentación de vulnerabilidad de Ford”, agregó Jackson.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.