Vulnerabilidade em plataforma de gestão da Toyota terá dado acesso a dados de consumidores

Uma vulnerabilidade na plataforma CRM Toyota Customer 360 permitiu a um investigador de segurança aceder a dados pessoais de clientes do México da fabricante de automóveis.

O investigador de cibersegurança Eaton Zveare descobriu, enquanto analisava o CRM, que a Toyota implementou cinco versões da plataforma de CRM – três para propósitos de desenvolvimento, uma para teste e uma para produção – e que conseguia modificar a aplicação de desenvolvimento para aceder a dados de produção.

O investigador conseguiu ultrapassar a autenticação na aplicação e, depois, aceder a dados de cliente, incluindo nomes, endereços e números de telefone, entre outras informações.

Zveare descobriu que recebia um erro 403 ao tentar aceder à página de produção, mas que conseguia modificar o código Angular JavaScript nas aplicações web de desenvolvimento e teste para ultrapassar a autenticação. Depois, foi possível localizar os API endpoints que estavam expostos e atualizar a aplicação de desenvolvimento.

Segundo o investigador, as API não pediram um token de autenticação e, em retorno, entregavam dados se um pedido fosse feito. As API estavam expostas em todos os ambientes depois de serem incluídos na aplicação de desenvolvimento.

O problema foi reportado a 30 de outubro e a Toyota resolveu, entretanto, o problema.