Fuga de información en portal de proveedores de Toyota
GSPIMS (Global Supplier Preparation Information Management System) de Toyota, una aplicación web utilizada por los empleados de Toyota y sus proveedores para tareas de coordinación y otras relacionadas con la cadena de suministro global de la marca, fue vulnerado por un investigador de seguridad llamado Eaton Zveare, que informó del problema a la empresa.
Dicho investigador descubrió un backdoor en el sistema GSPIMS que permitía el acceso a una cuenta de usuario existente, siempre que se conociera su correo electrónico. Explotando esta vulnerabilidad, con una cuenta de administrador se podría acceder a información sensible como documentos clasificados, calendarios de proyectos, clasificaciones de proveedores y datos de 14.000 usuarios.
Referencias
- 06/02/2023 eaton-works.com Hacking into Toyota’s global supplier management network
- 07/02/2023 bleepingcomputer.com Researcher breaches Toyota supplier portal with info on 14,000 partners
- 07/02/2023 securityweek.com Vulnerability Provided Access to Toyota Supplier Management Network
- 07/02/2023 portswigger.net Toyota sealed up a backdoor to its global supplier management network
- 07/02/2023 underc0de.org Vulnerando: portal de proveedores de Toyota con información sobre 14,000 socios
- 08/02/2023 ciberseguridadlatam.com Un investigador accede al portal de proveedores de Toyota, con información de 14.000 socios
