Backdoor-Angriff
Hacker erlangt Kontrolle über globales Toyota-System
Foto: josefkubes - shutterstock.com
Mehr als reale E-Mail-Adressen hat der Ethical Hacker namens "EatonWorks" nicht benötigt, um sich Zugang zu bestehenden Benutzerkonten im Supply-Chain-Portal von Toyota zu verschaffen. Das Global Supplier Preparation Information Management System (GSPIMS) ist die Webanwendung des Autoherstellers, über die sich Mitarbeiter und Zulieferer anmelden. Indem er eine Hintertür ausnutzte, erlangte EatonWorks Systemadmin-Rechte und schließlich Einsicht auf vertrauliche Dokumente, interne Projekte sowie Lieferanteninformationen.
Jetzt kostenlos für den CSO-Newsletter anmelden
Big new hack announcement from me today: I hacked Toyota's Global Supplier Preparation Information Management System and achieved System Admin access. Read/write access to 14k+ corp users, projects, documents, supplier data, and more. Full writeup: https://t.co/WSHHb1Xb0K
— Eaton Z. (@XeEaton) February 6, 2023
Simple Hacking-Methoden
Der Hacker schreibt in seinem Blog, er sei aufgrund der Sicherheitslücke in der Lage gewesen, jeden Benutzer anzumelden, dafür habe er nur dessen E-Mail-Adresse benötigt. Die verschiedenen Anmeldevorgänge von Toyota konnte er vollständig umgehen und sich sowohl Lese- wie auch Schreibzugriff verschaffen. An die Mail-Adressen gelangte er, indem er Toyota-Mitarbeiter googelte und auf LinkedIn nach ihnen suchte. Schließlich fand er die Adresse eines Systemadministrators heraus und konnte sich in dessen Konto einloggen. "Danach hatte ich die volle Kontrolle über das gesamte globale System", schreibt EatonWorks.
Innerhalb von sieben Tagen meldete der Ethical Hacker vier kritische Sicherheitsprobleme an den Autohersteller. "Eine der gemeldeten Schwachstellen hatte bemerkenswert schwerwiegende Auswirkungen und ist eine der gravierendsten Schwachstellen, die ich je gefunden habe."
Lesetipp: Diese Schwachstellen sollten Sie sofort patchen
Keine Belohnung für den Hacker
Nachdem der Ethical Hacker die Probleme am 2. November 2022 an Toyota gemeldet hatte, teilte der Hersteller mit, dass sie bis zum 23. November 2022 behoben worden waren. Hätte ein krimineller Hacker diese Hintertür ausgenutzt, wäre er in der Lage gewesen, ein eigenes Nutzerkonto einzurichten - mit privilegierten Rechten, um diese Rolle auch zu behalten, falls das Problem entdeckt worden wäre. Zudem hätte er Daten löschen, verändern oder stehlen können, was den Betrieb von Toyota erheblich beeinträchtigt hätte. Auch der Versand von Phishing-Nachrichten, um an Login-Daten für weitere interne Systeme zu kommen, wäre mit den Daten möglich gewesen.
Eine Belohnung dafür, dass er die Schwachstellen gemeldet und nicht ausgenutzt hat, bekam EatonWorks nicht. Aus dieser Erfahrung zieht er die Konsequenz, dass er sich künftig auf Unternehmen konzentrieren wird, die Belohnungen für gefundene Sicherheitslücken ausschreiben.
Lesetipp: Zoom zahlt Millionen an Hacker