This post is also available in: Português
Falha permitia acessar sistemas confidenciais e obter informações sigilosas. A empresa Ford demorou a divulgar a vulnerabilidade.
Bastou um problema de configuração no sistema de engajamento de clientes Pega Infinity, em execução nos servidores da Ford, para que centenas de dados de clientes e funcionários da montadora ficassem expostos. A falha foi descoberta por pesquisadores de segurança digital, e permitia examinar registros confidenciais, bancos de dados e realizar invasões de contas.
A vulnerabilidade foi encontrada pelos especialistas Robert Willis e break3r, com validação e suporte adicionais fornecidos por membros do grupo de hackers éticos Sakura Samurai – Aubrey Cottle, Jackson Henry e John Jackson.
O problema foi registrado com a CVE-2021-27653, uma vulnerabilidade de exposição de informações em instâncias do sistema de gerenciamento de clientes Pega Infinity configuradas incorretamente. Assim, para explorar o problema, um invasor primeiro teria que acessar o painel de back-end da web de uma instância do portal do Pega Chat Access Group configurada de modo equivocado.
Nesse contexto, diferentes cargas úteis fornecidas como argumentos de URL podem permitir que os invasores executem consultas, recuperem tabelas de banco de dados, tokens de acesso e executem ações que só administradores poderiam.
Os pesquisadores afirmam que alguns dos ativos expostos continham informações de identificação pessoal (PII, na sigla em inglês) confidenciais, como registros de clientes e funcionários, números de contas, nomes e tabelas de banco de dados. A lista inclui também tíquetes de suporte interno, perfis de usuário dentro da empresa e histórico da barra de pesquisa.
“Os invasores podem usar as vulnerabilidades identificadas para obter uma grande quantidade de registros confidenciais e executar invasões de conta”, escreveu Willis em um blog.
Divulgação “forçada”
Todas essas descobertas foram relatadas à Pega em fevereiro deste ano, e o problema foi resolvido relativamente rápido. Na mesma época, o assunto também foi levado ao conhecimento da Ford, por meio do programa de divulgação de vulnerabilidades HackerOne.
Aí é que surgiram alguns contratempos. Os pesquisadores disseram que as respostas da Ford eram muito evasivas e pouco frequentes. “Em determinado ponto, eles pararam completamente de responder às nossas perguntas. Foi necessária a mediação do HackerOne para obter uma resposta da Ford sobre o nosso envio de vulnerabilidade”, disse John Jackson.
Ele afirma que, à medida que o cronograma de divulgação avançava, os pesquisadores tiveram retorno apenas depois de postar tweets sobre a falha – em publicações que não forneciam detalhes confidenciais.
“Quando a vulnerabilidade foi marcada como resolvida, a Ford ignorou nosso pedido de divulgação. Posteriormente, a mediação do HackerOne ignorou nosso pedido de ajuda para divulgação”, lembra Jackson. “Tivemos que esperar seis meses para forçar a divulgação de acordo com a política do HackerOne”, complementa o pesquisador.
No momento, o programa de divulgação de vulnerabilidade da Ford não oferece incentivos monetários ou recompensas. Assim, o único interesse dos pesquisadores era a divulgação como instrumento didático, tendo em vista o espírito colaborativo entre profissionais de segurança digital – algo que estava sendo dificultado.
Confidencial
Uma cópia do relatório de divulgação indica que a Ford se absteve de comentar sobre ações específicas relacionadas à segurança. “As descobertas enviadas são consideradas privadas. Esses relatórios de vulnerabilidade têm como objetivo evitar comprometimentos que podem exigir divulgação. Nesse cenário, o sistema foi colocado off-line logo depois que vocês enviaram suas descobertas para o HackerOne”, disse a Ford em um comunicado para o HackerOne e os pesquisadores.
Embora os endpoints tenham sido colocados off-line pela Ford em 24 horas após o relatório, os pesquisadores comentaram no mesmo relatório que os endpoints permaneceram acessíveis mesmo depois disso, e então solicitaram outra revisão e correção.
Ainda não se sabe se algum cracker explorou a vulnerabilidade ou se informações confidenciais de clientes e funcionários foram acessadas. O certo é que causa estranheza as dificuldades encontradas pelos pesquisadores. Afinal, se os cibercriminosos estão conquistando progressos com atitudes cada vez mais colaborativas entre si, aqueles que protegem sistemas também precisam de engajamento – algo que passa pelo respaldo de todos os nomes envolvidos.
This post is also available in: Português
