Toyota’nın Küresel Tedarikçi Hazırlama Bilgi Yönetim Sistemi veya GSPIMS’i, bir güvenlik araştırmacısı tarafından arka kapı kullanılarak ihlal edildi. 90 gün sonra bilgisayar korsanı görev bilinciyle şirketi ihlal konusunda uyardı.
Firmanın GSPIMS olarak bilinen web platformu, çalışanların ve tedarikçilerin uzaktan oturum açmasını ve şirketin kapsamlı tedarik zincirini yönetmesini sağlar. Açısal tek sayfalık bir uygulamadır. AG Grid uygulamasında yerleşik bir lisans anahtarına dayalı olarak, Toyota adına SHI International Corp – ABD tarafından oluşturulmuştur.
EatonWorks takma adıyla blog yazan bir güvenlik uzmanı, “Toyota GSPIMS web sitesinde/uygulamasında, yalnızca e-postalarını bilerek herhangi bir kurumsal Toyota kullanıcısı veya tedarikçisi olarak oturum açmamı sağlayan, temelde bir arka kapı oturum açma mekanizması olduğunu keşfettim”.
Sonunda sistem yöneticisinin e-posta adresini buldu ve hesabına erişebildi. “Tüm küresel sistem üzerinde tam kontrole sahiptim” diyor.
Ayrıca, Toyota’nın ortakları ve şirket dışından tedarikçileri de dahil olmak üzere tüm dahili Toyota projelerine, verilerine ve kullanıcı hesaplarına tam erişimi vardı.
3 Kasım 2022’de Toyota sorunlar hakkında uygun şekilde bilgilendirildi ve 23 Kasım 2022’ye kadar firma sorunların çözüldüğünü doğruladı.
Toyota’nın İhlalinin Özellikleri
Araştırmacı, oturum açma ekranının arkasına gizlenmiş olası tehditleri araştırmaya karar verdi.
Giriş ekranının ötesine geçmek için JavaScript kodunu değiştirmek zorunda kaldı. Burada geliştiriciler, doğru veya yanlış döndürecek olan Angular çerçevesini kullanarak belirli sayfalara kimin erişebileceğini kontrol edebilir.
Araştırmacı, API’leri uygun şekilde güvenli olmadığı için tam erişim elde etmek için gereken tek şeyin JavaScript’e yama uygulamak olduğunu açıklıyor.
GSPIMS durumunda, API’den hiçbir veri yüklenmez. Tüm uç noktalar, eksik oturum açma çerezi nedeniyle HTTP durumu 401 – Yetkisiz yanıtlar döndürür.
“Toyota/SHI, görünüşe göre API’lerini doğru bir şekilde güvence altına almıştı ve bu noktada, bu siteyi “muhtemelen güvenli” olarak yazmak üzereydim. Araştırmacı, sızdıran/uygun olmayan şekilde güvenli bir API’yi ortaya çıkarmadığı sürece, tek sayfalık uygulama baypaslarını bildirmekle uğraşmıyorum” diyor.
Ayrıca analist, hizmetin parolasız oturum açmak için kullanıcının e-posta adresine dayalı bir JSON Web Simgesi (JWT) oluşturduğunu hemen fark etti. Bu nedenle, bir Toyota çalışanının gerçek e-posta adresini tahmin edebilen birisi geçerli bir JWT oluşturabilir.
Araştırmacı, “GSPIMS’de kayıtlı herhangi bir Toyota çalışanı veya tedarikçisi için geçerli bir JWT oluşturmanın bir yolunu keşfettim ve muhtemelen iki faktörlü kimlik doğrulama seçeneklerini de zorunlu kılan çeşitli kurumsal oturum açma akışlarını tamamen atladım”.
Ardından araştırmacı, Sistem Yöneticisi pozisyonuna sahip bir kullanıcıyı bulmaya çalışıyordu ve bir kullanıcının hesabındaki verileri döndürmek için yalnızca geçerli bir e-posta gerektiren findByEmail adlı başka bir API uç noktasıyla karşılaştı. Uygun bir şekilde, bu aynı zamanda kullanıcının yöneticilerini de tanımlar.
Bu ona Kullanıcı Yönetimi bölümüne erişim sağladı. Daha fazlasını araştırdı ve Tedarikçi Yöneticisi, Küresel Yönetici ve son olarak Sistem Yöneticisi gibi daha da yüksek erişime sahip kullanıcılar buldu.
Bir GSPIMS sistem yöneticisi, 14.000 kullanıcı profili, proje programları, tedarikçi sıralamaları ve sınıflandırılmış belgeler dahil olmak üzere özel verilere erişebilir.
Araştırmacı, Toyota’nın hem ortaklarının hem de tedarikçilerinin çalışanları hakkında feci bir bilgi sızıntısını önlediğini söyledi. Utanç verici dahili açıklamalar ve tedarikçi sıralamalarını herkese açık hale getirmek mümkündü.
Toyota ve tedarikçilerine yönelik siber saldırılar daha önce meydana geldiği için, başka bir siber saldırı olması muhtemeldi.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin