O Sistema Global de Gerenciamento de Informações de Preparação de Fornecedores, ou GSPIMS, da Toyota, foi violado por um pesquisador de segurança usando um backdoor. Após 90 dias, o hacker alertou obedientemente a empresa sobre a violação.
A plataforma web da empresa, conhecida como GSPIMS, permite que funcionários e fornecedores façam login remotamente e gerenciem a extensa cadeia de suprimentos da empresa. É um aplicativo Angular de página única. Baseado em uma chave de licença incorporada no aplicativo AG Grid, ele foi criado pela SHI International Corp – EUA em nome da Toyota.
“Descobri o que era essencialmente um mecanismo de login backdoor no site/aplicativo Toyota GSPIMS que me permitia fazer login como qualquer usuário ou fornecedor corporativo da Toyota apenas conhecendo seu e-mail”, um especialista em segurança quem bloga sob o pseudônimo EatonWorks.
Ele finalmente encontrou o endereço de e-mail do administrador do sistema e conseguiu acessar sua conta. Ele diz “Eu tinha controle total sobre todo o sistema global”.
Além disso, ele tinha acesso completo a todos os projetos, dados e contas de usuários internos da Toyota, incluindo os de parceiros e fornecedores externos da Toyota.
Em novembro 3Em 2022, a Toyota foi devidamente informada dos problemas e, em 23 de novembro de 2022, a empresa verificou que eles haviam sido resolvidos.
Especificidades da violação da Toyota
O pesquisador tomou a decisão de investigar quaisquer ameaças potenciais escondidas atrás da tela de login.
Ele teve que modificar o código JavaScript para ir além da tela de login. Aqui, os desenvolvedores podem controlar quem tem acesso a páginas específicas utilizando a estrutura Angular, que retornará verdadeiro ou falso.
O pesquisador explica que corrigir o JavaScript era tudo o que era necessário para obter acesso total, uma vez que sua API estava protegida de forma inadequada.
No caso do GSPIMS, nenhum dado seria carregado da API. Todos os endpoints retornariam o status HTTP 401 – Respostas não autorizadas devido à falta do cookie de login.
“A Toyota/SHI aparentemente protegeu sua API corretamente e, neste ponto, eu estava prestes a classificar este site como “provavelmente seguro”. Não me preocupo em relatar desvios de aplicativos de página única, a menos que isso também exponha uma API com vazamento/proteção inadequada”, diz o pesquisador.
Além disso, o analista percebeu rapidamente que o serviço estava criando um JSON Web Token (JWT) baseado no endereço de e-mail do usuário para login sem senha. Portanto, alguém pode criar um JWT válido se conseguir adivinhar o endereço de e-mail genuíno de um funcionário da Toyota.
“Descobri uma forma de gerar um JWT válido para qualquer funcionário ou fornecedor da Toyota cadastrado no GSPIMS, contornando completamente os diversos fluxos de login corporativo, que provavelmente também impõem opções de autenticação de dois fatores”, o pesquisador.
Em seguida, o pesquisador estava tentando localizar um usuário que ocupava a posição de administrador do sistema e se deparou com outro endpoint de API chamado findByEmail que exigia apenas um e-mail válido para retornar dados da conta de um usuário. Convenientemente, isto também identifica os gestores do usuário.
Isso lhe deu acesso à seção Administração de usuários. Ele vasculhou mais e encontrou usuários com acesso ainda maior, como Administrador de Fornecedores, Administrador Global e, finalmente, Administrador de Sistemas.
Um administrador do sistema GSPIMS tem acesso a dados privados, incluindo 14.000 perfis de usuários, cronogramas de projetos, classificações de fornecedores e documentos confidenciais.
O pesquisador disse que a Toyota evitou o que pode ter sido um vazamento desastroso de informações sobre os funcionários de seus parceiros e fornecedores. Foi possível tornar públicas observações internas embaraçosas e classificações de fornecedores.
Como já ocorreram ataques cibernéticos à Toyota e aos seus fornecedores, outro era bastante provável.
