Backdoor-Angriff

Hacker erlangt Kontrolle über globales Toyota-System

Durch das Ausnutzen einer Sicherheitslücke und simple Methoden erlangte ein Hacker die Kontrolle über das Lieferantenportal von Toyota.
Von 
CSO | 09. Februar 2023 10:10 Uhr
Dank der freiwilligen Arbeit eines Ethical Hackers konnte Toyota einige kritische Sicherheitslücken schließen. Eine Belohnung erhielt der Hacker allerdings nicht.
Dank der freiwilligen Arbeit eines Ethical Hackers konnte Toyota einige kritische Sicherheitslücken schließen. Eine Belohnung erhielt der Hacker allerdings nicht.
Foto: josefkubes - shutterstock.com

Mehr als reale E-Mail-Adressen hat der Ethical Hacker namens "EatonWorks" nicht benötigt, um sich Zugang zu bestehenden Benutzerkonten im Supply-Chain-Portal von Toyota zu verschaffen. Das Global Supplier Preparation Information Management System (GSPIMS) ist die Webanwendung des Autoherstellers, über die sich Mitarbeiter und Zulieferer anmelden. Indem er eine Hintertür ausnutzte, erlangte EatonWorks Systemadmin-Rechte und schließlich Einsicht auf vertrauliche Dokumente, interne Projekte sowie Lieferanteninformationen.

Jetzt kostenlos für den CSO-Newsletter anmelden

Simple Hacking-Methoden

Der Hacker schreibt in seinem Blog, er sei aufgrund der Sicherheitslücke in der Lage gewesen, jeden Benutzer anzumelden, dafür habe er nur dessen E-Mail-Adresse benötigt. Die verschiedenen Anmeldevorgänge von Toyota konnte er vollständig umgehen und sich sowohl Lese- wie auch Schreibzugriff verschaffen. An die Mail-Adressen gelangte er, indem er Toyota-Mitarbeiter googelte und auf LinkedIn nach ihnen suchte. Schließlich fand er die Adresse eines Systemadministrators heraus und konnte sich in dessen Konto einloggen. "Danach hatte ich die volle Kontrolle über das gesamte globale System", schreibt EatonWorks.

Innerhalb von sieben Tagen meldete der Ethical Hacker vier kritische Sicherheitsprobleme an den Autohersteller. "Eine der gemeldeten Schwachstellen hatte bemerkenswert schwerwiegende Auswirkungen und ist eine der gravierendsten Schwachstellen, die ich je gefunden habe."

Lesetipp: Diese Schwachstellen sollten Sie sofort patchen

Keine Belohnung für den Hacker

Nachdem der Ethical Hacker die Probleme am 2. November 2022 an Toyota gemeldet hatte, teilte der Hersteller mit, dass sie bis zum 23. November 2022 behoben worden waren. Hätte ein krimineller Hacker diese Hintertür ausgenutzt, wäre er in der Lage gewesen, ein eigenes Nutzerkonto einzurichten - mit privilegierten Rechten, um diese Rolle auch zu behalten, falls das Problem entdeckt worden wäre. Zudem hätte er Daten löschen, verändern oder stehlen können, was den Betrieb von Toyota erheblich beeinträchtigt hätte. Auch der Versand von Phishing-Nachrichten, um an Login-Daten für weitere interne Systeme zu kommen, wäre mit den Daten möglich gewesen.

Eine Belohnung dafür, dass er die Schwachstellen gemeldet und nicht ausgenutzt hat, bekam EatonWorks nicht. Aus dieser Erfahrung zieht er die Konsequenz, dass er sich künftig auf Unternehmen konzentrieren wird, die Belohnungen für gefundene Sicherheitslücken ausschreiben.

Lesetipp: Zoom zahlt Millionen an Hacker

Melanie Staudacher war Editor bei CSO. Ihr Schwerpunkt war IT-Security.