Ford: error del sitio expuso datos confidenciales

El sitio de Ford recientemente jugó una mala pasada a los clientes y empleados de la compañía, ya que varios datos se expusieron públicamente y los investigadores de seguridad pudieron acceder a ellos.

Estamos hablando específicamente de datos de la base de datos de compradores, así como de credenciales de empleados y tickets internos, pero como explica TechRadar también hay mucho más.

El informe del conjunto provino de BleepingComputer, con los investigadores de seguridad Robert Willis y break3r descubriendo la vulnerabilidad. El problema se ha rastreado como CVE-2021-27653 y parece haber surgido de un error en el fabricante de automóviles del software CRM. Aquí están las palabras de Robert Willis, quien explicó el asunto con más detalle en un post:

“El impacto fue a gran escala. Los atacantes podrían haber utilizado las vulnerabilidades identificadas en el control de acceso roto, obtener registros confidenciales, robar cuentas e incluso asegurar grandes cantidades de datos”.

Según explica BleepingComputer, la empresa Pega fue notificada del problema en febrero de este año, pero parece que la comunicación con Ford no fue exhaustiva cuando todo se informó a través del programa HackerOne.

De hecho, John Jackson de Sakura Samurai ha señalado que, después de algún tiempo, la empresa ha comenzado a ignorar la situación, sin responder más a las preguntas planteadas.

También parece que tras la identificación del conjunto, los investigadores no han recibido respuesta de Ford ni siquiera respecto a la divulgación del conjunto, con el único propósito de informar al mundo de la infracción (dada la ausencia de un programa de recompensas). Debido a la política de HackerOne, que ignoraba el problema de la misma manera, fue necesario esperar 6 meses.

Actualmente no está claro si los piratas informáticos han logrado identificar el problema y explotarlo para robar datos confidenciales, y esperamos que no lleguen actualizaciones negativas durante las próximas semanas.