福特汽车公司网站上的一个漏洞允许访问敏感系统并获取专有数据，例如客户数据库、员工记录、内部票证等。

　　数据泄露源于福特服务器上运行的Pega Infinity客户参与系统的错误配置实例。

　　从数据泄露到账户接管

　　本周，研究人员披露了在福特网站上发现的一个漏洞，让他们可以窥视公司机密记录、数据库并执行帐户接管。

　　该漏洞由Robert Willis和break3r发现， 并得到了Sakura Samurai白帽子黑客组织成员Aubrey Cottle、Jackson Henry和John Jackson 的进一步验证和支持 。

　　该问题是由CVE-2021-27653引起的，这是一个信息泄露漏洞，存在于配置不当的Pega Infinity客户管理系统实例中。

　　研究人员与外媒分享了福特内部系统和数据库的许多截图。例如，该公司的票务系统如下图所示：

　　图片福特的内部票务系统暴露给研究人员

　　要利用该问题，攻击者首先必须访问配置错误的Pega Chat Access Group 门户实例的后端 Web 面板：

　　https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/

　　bD8qH******bIw4Prb*/!RPACHAT/$STANDARD…

　　正如我们所见，作为URL参数提供的不同负载可能使攻击者能够运行查询、检索数据库表、OAuth 访问令牌和执行管理操作。

　　研究人员表示，一些暴露的资产包含敏感的个人身份信息 （PII），包括：

　　客户和员工记录

　　财务账号

　　数据库名称和表

　　OAuth访问令牌

　　内部支持票

　　组织内的用户个人资料

　　脉冲动作

　　内部接口

　　搜索栏历史

　　“影响规模很大。攻击者可以利用在被破坏的访问控制中发现的漏洞，获取大量敏感记录，执行帐户接管，并获取大量数据，”威利斯在一篇博客文章中写道。

　　花了六个月的时间“强制披露”

　　2021年2月，研究人员向Pega报告了他们的发现，他们相对较快地修复了聊天门户中的CVE。大约在同一时间，这个问题也通过他们的HackerOne漏洞披露计划报告给了福特。

　　但是，研究人员透露，随着负责任的披露时间表的推进，来自福特的交流变得越来越少：

　　“有一次，他们完全停止回答我们的问题。经过HackerOne的调解，我们才得到福特对我们提交的漏洞的初步回应，”约翰杰克逊在电子邮件采访中透露。

　　杰克逊表示，随着披露时间表的进一步推进，研究人员仅在发布有关该漏洞的推文后才收到HackerOne的回复，但没有提供任何敏感细节：

　　“当漏洞被标记为已解决时，福特忽略了我们的披露请求。随后，HackerOne 调解忽略了我们的帮助披露请求，这可以在PDF中看到。”“出于对法律和负面影响的恐惧，我们不得不等待整整六个月才能根据HackerOne的政策强制披露，”杰克逊继续说道。目前，福特的漏洞披露计划不提供金钱激励或漏洞奖励，因此根据公众利益进行协调披露是研究人员唯一希望的“奖励”。

　　与外界共享的披露报告副本表明，福特没有对特定的安全相关行为发表评论。“你提交的调查结果……被认为是私人的。这些漏洞报告旨在防止可能需要披露的妥协。”根据PDF中的讨论，福特与HackerOne和研究人员分享说：“在这种情况下，系统在您将发现提交给HackerOne后不久就离线了。”

　　尽管端点在报告后24小时内被福特下线，但研究人员在同一份报告中评论说，即使在此之后端点仍然可以访问，并要求再次审查和补救。目前尚不清楚是否有任何威胁行为者利用该漏洞破坏福特的系统，或者是否访问了敏感的客户/员工 PII。

　　福特对此未对外界进行置评。