Исследователь взломал веб-сервис Toyota с внутренними документами

Исследователь взломал веб-сервис Toyota с внутренними документами

Исследователь взломал веб-сервис Toyota с внутренними документами

Глобальная система управления информацией о подготовке поставщиков (GSPIMS) компании Toyota оказалась дырявой. Исследователь под псевдонимом EatonWorks взломал GSPIMS и сообщил о проблеме представителям автомобилестроительной корпорации.

GSPIMS представляет собой веб-приложение, позволяющее сотрудникам и поставщикам удалённо получать доступ и управлять глобальной цепочкой поставок Toyota.

Специалист с ником EatonWorks выявил в системе Toyota бэкдор, с помощью которого любой мог получить доступ к существующему аккаунту. Для этого достаточно было знать адрес электронной почты.

В ходе тестовой попытки проникновения исследователь понял, что лазейка позволяет добраться до тысяч конфиденциальных документов, внутренних проектов, данных о поставщиках и т. п.

Представители Toyota узнали о проблеме 3 ноября 2022 года, а в конце того же месяца японская корпорация устранила уязвимость. Теперь EatonWorks с чистой совестью смог опубликовать подробности выявленной проблемы. Интересно, что Toyota так и не выплатила эксперту вознаграждение.

Приложение GSPIMS создано на базе JavaScript-фреймворка Angular, при этом софт использует специфические маршруты и функции, помогающие вычислять, к каким страницам имеют доступ определённые пользователи.

EatonWorks обнаружил возможность модифицирования JavaScript-кода этих функций, чтобы они всегда возвращали значение «true».

 

Кроме того, специалист выяснил, что сервис генерирует JSON Web Token (JWT) для входа без пароля. Аутентификация требовала только адреса электронной почты одного из сотрудников Toyota. В результате бэкдор открывал любому доступ к данным 14 тысяч пользователей, а также внутренним корпоративным документам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Роскомнадзор обсуждает с маркетплейсами проверку сим-карт

Роскомнадзор совместно с маркетплейсами обсуждает возможность внедрения механизмов проверки сим-карт на предмет их использования мигрантами. По мнению ведомства, это может затруднить использование чужих номеров в мошеннических схемах.

Как сообщил источник ТАСС, соответствующая инициатива обсуждалась на совещании в Роскомнадзоре с участием представителей крупных маркетплейсов. Одной из ключевых тем стала проверка сим-карт, которые используются иностранными гражданами.

«Как показывает практика, иностранные граждане при устройстве на работу нередко используют сим-карты, зарегистрированные на других лиц. Нововведение поможет решить, в том числе, проблему мошенничества с использованием чужих номеров», — отметил источник агентства.

На совещании рассматривались возможные варианты реализации такого контроля. В частности, работодателей, нанимающих мигрантов, могут обязать проверять, кому принадлежат номера, указанные в анкетных данных при приёме на работу. В случае нарушений ответственность будет нести работодатель.

Представители маркетплейсов предложили создать единую систему, с помощью которой можно было бы проверять принадлежность телефонных номеров. По их мнению, только такой централизованный подход может обеспечить эффективность механизма.

В свою очередь, представители Роскомнадзора рекомендовали тем отраслям, где доля мигрантов особенно высока, разработать меры контроля в рамках саморегулирования.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru