Pesquisador invade portal de fornecedores da Toyota

Da Redação
07/02/2023

O Sistema Global de Gerenciamento de Informações de Preparação de Fornecedores (GSPIMS) da Toyota foi violado por um pesquisador de segurança que relatou o problema à empresa. O GSPIMS é o aplicativo da montadora que permite que funcionários e fornecedores façam login remotamente e gerenciem a cadeia de suprimentos global da companhia japonesa.

O pesquisador de segurança, que usa o pseudônimo EatonWorks, descobriu uma backdoor no sistema da Toyota que pode permitir a qualquer um acessar a conta de um usuário existente, desde que soubesse seu e-mail.

Em um teste de invasão, o pesquisador descobriu que podia acessar livremente milhares de documentos confidenciais, projetos internos, informações de fornecedores e muito mais. Os problemas foram informados à Toyota em 3 de novembro do ano passado, e a montadora japonesa confirmou que eles foram corrigidos até 23 de novembro.

EatonWorks publicou um artigo detalhado sobre as descobertas nesta terça-feira, 7, após 90 dias do processo de divulgação. A Toyota não recompensou o pesquisador pela divulgação das vulnerabilidades descobertas.

Como se deu a violação

O aplicativo GSPIMS foi desenvolvido na estrutura Angular JavaScript e usou rotas e funções específicas para determinar quais usuários podem acessar quais páginas. O pesquisador de segurança descobriu que, ao modificar o JavaScript dessas funções para que retornassem valores “verdadeiros”, ele poderia desbloquear o acesso ao aplicativo.

No entanto, enquanto o aplicativo estava carregado, ele não exibia nenhum dado, pois o pesquisador não estava autenticado no aplicativo. O analista logo descobriu que o serviço estava gerando um JSON Web Token (JWT) para login sem senha com base no endereço de e-mail do usuário. Portanto, se alguém pudesse adivinhar um endereço de e-mail válido de um funcionário da Toyota, poderia gerar um JWT válido.

Basta pesquisar os funcionários da Toyota no Google ou executar a OSINT (open source intelligence ou informação de fontes abertas) no LinkedIn para encontrar ou formular um endereço de e-mail, que é o caminho que o pesquisador seguiu para a invasão, encontrando uma conta de administrador regional.

A partir daí, a EatonWorks escalou para uma conta de administrador do sistema explorando uma falha de divulgação de informações na API do sistema. Depois disso, o pesquisador simplesmente mudou para uma conta mais privilegiada, encontrando e usando o endereço de e-mail de um administrador de sistema.

Acesso total a documentos

Um administrador de sistema do GSPIMS pode acessar informações confidenciais como documentos sigilosos, cronogramas de projetos, classificações de fornecedores e dados de 14 mil usuários. Para cada um deles, o administrador pode acessar seus projetos, tarefas e pesquisas, alterar detalhes do usuário, modificar ou excluir dados, adicionar usuários backdoor redundantes ou preparar o terreno para uma campanha de phishing direcionada.

O pior aspecto dessa falha é que um hacker poderia ter obtido acesso silenciosamente ao sistema da Toyota e depois copiado os dados sem modificar nada, mantendo a probabilidade de descoberta muito baixa.

É impossível determinar se algo assim já pode ter acontecido, mas não houve vazamentos maciços de dados da Toyota, então presume-se que EatonWorks foi o primeira a encontrar a falha de bypass de login.

Veja isso
Denso, empresa do grupo Toyota, atacada com ransomware
Toyota, subsidiárias e parceiros sob ataque cibernético

A divulgação ocorre após uma série de violações, vazamentos de dados e outras vulnerabilidades descobertas no ano passado. Em fevereiro do ano passado, a montadora japonesa anunciou que foi forçada a interromper as operações de produção de automóveis devido a um ataque cibernético a um de seus fornecedores, a Kojima Industries.

Em outubro, os clientes da Toyota sofreram uma violação de dados depois que um empreiteiro que desenvolveu o Toyota T-Connect, aplicativo de conectividade oficial da marca, deixou um repositório GitHub contendo dados do cliente expostos publicamente.Em janeiro deste ano, um pesquisador de segurança publicou os detalhes de várias falhas de segurança da API que afetavam várias montadoras, incluindo a Toyota, o que poderia expor os detalhes do proprietário.

Compartilhar: