安全研究員發現豐田全球供應商管理系統後門,可能暴露超過14000家供應商機密資訊
2月6日,一名安全研究員釋出了一篇部落格,聲稱其能夠入侵豐田的全球供應商準備資訊管理系統(GSPIMS,豐田的Web應用程式,供員工和供應商遠端登入並管理該公司的全球供應鏈)。
這位網名為EatonWorks的安全研究員寫道,他發現了豐田系統中的一個後門,只需要知道使用者的電子郵件就可以訪問現有使用者帳戶。在入侵測試中,研究人員發現他能夠自由訪問超過14000企業使用者的內部專案、供應商資訊、機密檔案等。
安全研究員在這過程中發現,GSPIMS應用程式根據使用者的電子郵件地址生成一個JSON Web令牌(JWT),用於無密碼登入。這意味著若是能猜到豐田員工的有效電子郵件地址,就有辦法生成有效的JWT。在那之後EatonWorks又透過利用系統API中的資訊洩露漏洞升級到系統管理員帳戶。
在文章末尾,安全研究員總結了幾條這個後門可能會導致的嚴重後果:
新增賬戶以在修復問題時保留訪問許可權;
下載並洩露資料;
刪除或修改資料以破壞豐田的全球運營;
利用竊取得到的機密資訊,對豐田供應商進行高針對性的網路釣魚活動。
無法確定在EatonWorks報告此問題之前,是否已經有人成功訪問豐田GSPIMS系統並複製了資料,但至少目前尚未出現相關資料洩露的報導。
安全研究員EatonWorks表示這些問題已於2022年11月3日向豐田披露,這家全球知名的日本汽車製造商確認它們已於2022年11月23日得到修復。EatonWorks在行業標準的90天披露期限結束後,釋出了關於此問題的詳細報告。
該安全研究員在部落格中還特別稱讚了豐田,說豐田是他所報告過安全問題的所有廠商中,響應最高效的,唯一感到遺憾的是,豐田沒有給予他任何的金錢獎勵。
編輯:左右裡
資訊來源:eaton-works
轉載請註明出處和本文連結
每日漲知識
暫存器地址(register address)
直接安裝在 CPU 上的非常小的儲存器位置。當 CPU 需要從其中一個暫存器獲得資訊來完成運算任務時,可以只使用暫存器地址來訪問資訊。
﹀
﹀
﹀
相關文章
- SRM供應商管理系統
- 汽車製造行業SRM供應商管理系統:提升供應商績效,建立完善的供應商管理體系行業
- 工程行業SRM供應商管理系統:精細化供應商管理,供應商系統保證企業高效運作行業
- 聚合供應鏈系統開發方案(供應商鏈)
- 選擇供應商常遇到的問題 供應商管理系統的作用
- 供應商管理系統方案,一站式管理供應商資訊、生命週期、績效和風險
- 利用供應商管理軟體,輕鬆管理新供應商
- 商雲SRM供應商管理系統基於醫療企業供應鏈上游採購和供應商關係
- 數商雲供應商協同管理系統(SRM)
- 數商雲:通訊行業智慧供應商管理系統智慧化管理供應商,建立共贏生態供應鏈平臺行業
- SRM供應商管理系統:助力供應商平臺降本增效的體系化方案
- 汽車行業SRM供應商管理系統行業
- 醫療行業供應商管理系統行業
- 塑化行業SRM供應商管理系統行業
- 有哪些好用的供應商管理系統
- 數商雲:如何實現SRM供應商管理系統的應用價值?
- 建築材料供應商協同管理系統
- 數商雲:重塑SRM供應商管理系統,實現企業精益管理
- 數商雲SRM供應商管理系統平臺開發解決方案
- 供應商管理系統的作用體現在哪些方面?
- ISC:聯想成為超級計算機全球最大供應商計算機
- 塑化行業SRM供應商管理系統:縮短採購週期時間,改善供應商採購管理行業
- [供應商管理]-汽車零配件企業快速搭建供應商評價、績效管理體系
- 與供應商合作:成功供應商管理的六種最 佳實踐
- 如何與供應商建立良好關係 從供應商績效管理做起
- 數商雲SRM供應商協同管理系統功能介紹
- 供應商管理軟體如何選型 好用的供應商管理軟體推薦
- 汽車製造行業SRM供應商管理系統行業
- 新能源行業供應商協同管理系統行業
- 企業如何規劃SRM供應商管理系統?
- 製造業SRM供應商管理系統:供應商全方位閉環管理,實現採購尋源與流程高效協同
- 如何成功管理供應商關係?
- 玩轉供應商管理(轉載)
- 數商雲傢俱家居SCM供應鏈管理系統
- 建築建材行業供應商管理系統強化企業供應商採購合規性,推進資訊化建設行業
- 數商雲:企業如何規劃SRM供應商管理系統?實現最佳應用價值
- 數商雲金融數智化供應鏈管理系統:多維度評估分析供應商,供應鏈平臺賦能智慧金融變革
- 儀器儀表行業數字化供應商轉型,SRM供應商關係系統管理能力解析行業