Chỉ với vài thao tác từ JSON Token, hacker mũ trắng đã chỉ ra lỗ hổng bảo mật khiến Toyota bị hack hơn 14.000 tài khoản và tài liệu mật trong năm 2022.
Toyota bị hack hơn 14.000 tài khoản từ website nội bộ.
Vừa qua, Toyota đã được một “hacker mũ trắng” tiết lộ lỗ hổng bảo mật lớn gây thất thoát 14.000 tài khoản của công ty.
Eaton Zveare (29 tuổi, Mỹ) đã thành công truy cập vào cổng thông tin nội bộ của Toyota bằng cách sử dụng mã Token từ JSON hoặc JWT. Sau khi tìm kiếm một số thông tin của nhân viên, Eaton dễ dàng đăng nhập vào trang chủ với cú pháp tên đăng nhập là “tênnhânviên.họ tên@toyota.com”.
Theo Auto News, hacker đã dùng cách trên để thu thập hàng nghìn tài liệu mật, thông tin dự án và quyền quản trị viên hệ thống. Tháng 11/2022, Toyota cũng đã được cảnh báo về lỗ hổng bảo mật trên.
“Chúng tôi thường xuyên kiểm tra bảo mật hệ thống và chạy các chương trình ảo nhằm hợp tác với các nhà nghiên cứu để tìm ra lỗ hổng. Chúng tôi đánh giá cao nghiên cứu và kết quả mà Eaton đã đưa ra. Toyota cũng nhanh chóng khắc phục lỗ hổng và hiện vẫn chưa có thông báo nào về các truy cập độc hại được thực hiện thông qua lỗi bảo mật trên”, Corey Proffitt, giám đốc truyền thông của Toyota Connected Bắc Mỹ chia sẻ.
Tuy nhiên, “hacker mũ trắng” Eaton Zveare cũng chia sẻ sự thất vọng đối với nhãn hàng khi không được phần thưởng cho thông tin trên.
Theo nguồn sưu tầm.