
Des chercheurs en sécurité ont indiqué le 11 août avoir pu accéder en février dernier à des données confidentielles concernant à la fois les clients et les employés de Ford. Ils y sont parvenus en exploitant un bug dans un logiciel CRM utilisé par le constructeur automobile.
De nombreuses données exposées
Comme le rapporte BleepingComputer, les chercheurs en sécurité Robert Willis et break3r ont d'abord découvert la vulnérabilité sur le site de l'entreprise avant de faire appel aux membres du groupe de hacking éthique Sakura Samurai pour une aide supplémentaire.
Ces derniers ont ainsi pu accéder à des dossiers confidentiels, à des bases de données de clients, à des tickets internes ainsi qu'à une multitude d'autres informations sensibles. La faille se trouvait au niveau d'une mauvaise configuration du système de chat de Pega Infinity fonctionnant sur les serveurs de Ford.
Un impact encore incertain
Selon Robert Willis, la faille était telle qu'entre de mauvaises mains elle aurait pu fournir un accès "à un tas de données sensibles et permettre des prises de contrôle de comptes etc." Les chercheurs se sont empressés de contacter le constructeur automobile, qui selon eux ce dernier ne s'est pas montré très coopératif. Les chercheurs ont également fait part de leurs découvertes à Pega Infinity, fournisseur de Ford qui a rapidement corrigé la vulnérabilité. Si la faille a été corrigée, il est impossible de savoir à l'heure actuelle si des cybercriminels ont eu accès à des données sensibles.
Réagir