近日，福特汽车被曝存在一个较为严重的安全漏洞，黑客可通过该漏洞访问其配置错误的Pega Infinity系统，从而获取包括客户数据库、员工记录、内部票证等在内的专有数据信息。黑客还可以借此执行账户接管操作。

从数据泄露到账户接管

该漏洞由Robert Willis 和 break3r发现， 并得到了Sakura Samurai组织成员Aubrey Cottle、Jackson Henry和John Jackson的进一步验证和支持 。

该问题是由CVE-2021-27653漏洞引起的，它是一个信息泄露漏洞，存在于福特公司配置不当的Pega Infinity客户管理系统中。研究人员分享了该系统和数据库的许多截图。例如，该公司的票务系统如下图所示：

福特的内部票务系统

要利用该漏洞，攻击者首先必须访问配置错误的Pega Chat Access Group用户的后端Web面板：

作为URL参数提供的不同负载可能使攻击者能够运行查询、检索数据库表、获取OAuth访问令牌和执行管理操作。

研究人员表示，泄露的数据资产包含敏感的个人身份信息：

• 客户和员工记录
• 财务账号
• 数据库名称和表
• OAuth访问令牌
• 内部支持票
• 组织内的用户个人资料
• 脉冲动作
• 内部接口
• 搜索栏历史

耗时六个月才被披露

早在2021年2月，研究人员就向Pega报告了他们的发现，并尽快地修复了聊天门户中的CVE漏洞。大约在同一时间，这个问题也通过他们的HackerOne漏洞披露计划报告给了福特。

Jackson表示，随着披露时间表的进一步推进，研究人员在发布有关该漏洞的推文后收到了HackerOne的回复，但没有提供任何敏感细节：

研究人员等待了六个月后才得到了该漏洞的披露详情。目前，福特的漏洞披露计划不提供金钱激励或漏洞奖励，因此根据公共利益进行协调披露是研究人员希望的唯一“奖励”。

目前，福特并没有对本次事件的特定安全相关行为发表评论。虽然福特宣称在接到报告后24小时内关闭了端点，但研究人员指出，他们在福特宣称关闭了端点之后发现此端点仍可访问，并要求福特再次审查并采取缓解措施。

目前尚不清楚是否有任何攻击者利用该漏洞破坏福特的系统，或者是否访问了客户或福特员工的个人身份信息。

参考资料