“ 免责声明:本文涉及到的所有技术仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透。否则产生的一切后果自行承担!一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!”
前言
我之前披露的GSPIMS暴露了大量企业数据,但没有客户数据。在今天的文章中,我详细介绍了丰田CRM的发现,该问题导致墨西哥丰田客户信息暴露。
丰田C360 CRM
Toyota拥有一个“客户360”CRM。这篇文章很好地解释了这意味着什么:
客户360指的是通过聚集来自整个组织的关于该客户的所有数据来创建主客户记录。客户360提供客户的姓名、地址、联系信息、性别以及与企业的交互的可信的单一视图。该视图可以包括关于购买历史、计费、服务问题、社交存在和频道偏好的信息。企业可以使用这些数据来告知参与策略,客户旅程步骤,通信,个性化优惠和交付。客户360度视图使组织能够获得价值,实现可持续的竞争优势,并最大限度地增加新客户获取机会,无论是在商店还是在线。
在这种情况下,它根据代码中的注释,它也曾一度用于管理美国客户。美国客户现在大概是在不同的CRM管理.
CRM – 3有几个不同的开发/测试版本和一个生产版本:
-
https://c360.dev.customercentral.toyota.com/
-
https://c360.qa.customercentral.toyota.com/
-
https://www.devapp.customercentral.toyota.com/
-
https://c360.customercentral.toyota.com/
漏洞记录
当生产站点(#4)处于活动状态时,当你访问它时,它会返回一个403错误。
我发现了该网站的开发/测试版本,并决定调查这些版本,并发现它不是返回403错误,而是要求企业登录凭据:
Angular JavaScript代码启动了这个重定向,所以第一个目标是阻止它发生。有几个补丁可以很好地完成这项工作:
在vendor.js中返回一个空的、非null的account对象,以避免错误,并诱使应用认为帐户已登录。
主页然后加载:
生产数据
如前所述,生产应用程序被锁定在403错误后面。在分析了dev应用程序之后,我设法找到了dev、qa和生产API端点:
我正在开发的开发应用正在使用开发API,但将其更新为使用生产API是微不足道的:
值得注意的是,这些API不需要身份验证令牌。它们会将数据返回给任何发送格式良好的请求的人。访问令牌保存到会话存储中,但实际上并没有在任何地方使用。
Toyota可能认为,由于生产应用程序被锁定,没有人会找到生产API端点,但看起来他们的开发人员将其包含在开发应用程序中。包含API端点是因为ngx-ui-loader用于增强应用程序中的加载体验,他们排除了API路径以避免问题。增强应用程序的加载体验并没有错,但在这种情况下,他们意外地暴露了所有环境中的所有秘密API端点。
生产和qa API端点使用Amazon API Gateway,如果没有包含在开发应用程序的代码中,可能无法找到它们。
探索影响
“C360简介”页面是所有有趣的东西。它基本上是一个查找工具,您可以在其中搜索客户。当你输入一个常用的名字时,搜索客户会产生很多结果(注意滚动条):
这基本上就是所有有趣的东西。此应用程序仍在开发中,有些部分出现故障或不可用。例如,相同的服务历史经常在客户之间重复。
我想强调的是,我不知道有多少客户在这个CRM。没有用户列表-只能通过姓名,ID,电话号码或电子邮件地址搜索客户。
客户信息似乎与经销商日报同步,这是丰田(和雷克萨斯)经销商用来管理他们与丰田业务的中央系统。
向丰田汇报
该问题于2022年10月30日报告给丰田,并于当天晚些时候回复,确认他们收到了报告。2022年11月18日,他们确认问题已得到修复。然后我告诉他们,我会在行业标准的90天期限过后发表我的文章。
丰田通过将一些网站离线并更新API以要求身份验证令牌来解决这个问题。
基本上在我向丰田报告这个问题的第二天,他们就把所有的网站都下线了。他们的反应之快令我印象深刻。他们可能会在接下来的几周内进行必要的安全改进,并确保没有人恶意访问任何客户信息。丰田没有发布他们自己的关于这个问题的建议,所以很可能没有发现恶意访问。
原文始发于微信公众号(安全脉脉):丰田CRM暴露客户信息
