Des chercheurs ont divulgué une vulnérabilité découverte sur le site Web de Ford, qui leur a permis de consulter des dossiers confidentiels de l'entreprise, des bases de données et de prendre le contrôle de comptes.

Le bug, nommé CVE-2021-27653, est une vulnérabilité d'exposition des informations dans les instances du système de gestion des clients Pega Infinity mal configurées.

Les chercheurs déclarent que certains des actifs exposés contenaient des informations personnelles identifiables (PII) sensibles, et comprenaient :

• Des enregistrements de clients et d'employés.
• Numéros de comptes financiers.
• Noms et tables de bases de données.
• Jetons d'accès OAuth.
• Tickets d'assistance interne.
• Profils d'utilisateurs au sein de l'organisation.
• Actions Pulse.
• Interfaces internes.
• Historique de la barre de recherche.

" L'impact était de grande envergure. Les attaquants pouvaient utiliser les vulnérabilités identifiées dans le contrôle d'accès défaillant et obtenir des masses d'enregistrements sensibles, effectuer des prises de contrôle de comptes et obtenir une quantité importante de données", écrit Robert Willis, l’ingénieur qui a découvert la vulnérabilité.

La vulnérabilité a été corrigée mais on ne sait pas encore si des acteurs malveillants l’ont exploité pour pénétrer dans les systèmes de Ford, ou si des informations personnelles sensibles de clients ou d'employés ont été consultées.