Toyota G-SPIMS Система управления информацией о поставщиках

Продукт
Разработчики: Toyota
Дата последнего релиза: 2022/11
Технологии: SRM - Управление взаимоотношениями с поставщиками

2023: Взлом исследователем глобальной системы управления информацией о поставщиках Toyota

Эксперт кибербезопасности из США Итон Звеаре за одну неделю обнаружил 4 критических уязвимости в системах Toyota. Об этом стало известно 8 февраля 2023 года.

Ошибки могли позволить скомпрометировать всю глобальную цепочку поставок автоконцерна и его поставщиков.

Специалисту удалось взломать глобальную систему управления информацией о поставщиках Toyota (G-SPIMS) — веб-приложение, используемое сотрудниками компании и их поставщиками для координации проектов, закупок и других задач, связанных с глобальной цепочкой поставок Toyota.

Image:4mccb22d5rvi1l20xmoq985cz2i9zdf0.png

Взлом был довольно прост в исполнении. Звеар обнаружил на веб-сайте бэкдор-механизм входа в систему, который позволил ему войти как корпоративный пользователь или поставщик Toyota, просто зная их электронную почту.

В результате он обнаружил адрес электронной почты системного администратора и смог войти в его учетную запись. Затем исследователь получил полный контроль над всей глобальной системой Toyota.

«
У меня был полный доступ к внутренним проектам Toyota, документам и учетным записям пользователей, включая учетные записи внешних партнеров/поставщиков Toyota, — сказал исследователь.
»

Эти внешние учетные записи включали пользователей из компаний Michelin, Continental, Stanley Black & Decker, Timken и других. Звеар сообщил Toyota о проблеме 3 ноября 2022 года, и через 20 дней компания объявила, что проблема устранена.Витрина данных НОТА ВИЗОР для налогового мониторинга 2.1 т

По словам специалиста, если бы злоумышленник обнаружил проблему, «последствия могли быть серьезными» - он мог бы совершить утечку данных, удалить их или изменить, чтобы нарушить глобальные операции Toyota.

Более того, киберпреступник мог бы провести целенаправленную фишинговую кампанию, чтобы попытаться получить данные для входа в корпоративную сеть. Это, вероятно, подвергло бы атаке другие системы Toyota.

«
Одно дело иметь более 14 000 корпоративных электронных писем, и совсем другое — иметь более 14 000 корпоративных электронных писем и точно знать, над чем они работают/над чем работали. Если пользователь-поставщик имеет привычку повторно использовать пароли, вполне возможно, что его собственная инфраструктура также может быть атакована, — сказал исследователь[1].
»

Примечания



СМ. ТАКЖЕ (1)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  БизнесАвтоматика НПЦ (120)
  Инжэниус Тим (95)
  B2B-Center (Центр развития экономики) (51)
  FogSoft (ФогСофт) (46)
  Единые Торговые Системы (ЕТС) (19)
  Другие (266)

  Инжэниус Тим (14)
  Comindware (Колловэар) (10)
  БизнесАвтоматика НПЦ (4)
  B2B-Center (Центр развития экономики) (3)
  SAP CIS (САП СНГ) (2)
  Другие (20)

  БизнесАвтоматика НПЦ (12)
  Инжэниус Тим (7)
  B2B-Center (Центр развития экономики) (7)
  ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (3)
  Логософт (Logosoft) (2)
  Другие (7)

  B2B-Center (Центр развития экономики) (14)
  Инжэниус Тим (13)
  БизнесАвтоматика НПЦ (4)
  ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (2)
  Lamacon (Logistics and Mathematics Consulting) (1)
  Другие (7)

  B2B-Center (Центр развития экономики) (10)
  БизнесАвтоматика НПЦ (6)
  Ediweb (Эдисофт) ранее Edisoft (1)
  Другие (0)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  БизнесАвтоматика НПЦ (1, 120)
  Инжэниус Тим (1, 99)
  B2B-Center (Центр развития экономики) (5, 52)
  FogSoft (ФогСофт) (13, 43)
  SAP SE (8, 42)
  Другие (176, 243)

  Инжэниус Тим (1, 15)
  Comindware (Колловэар) (1, 10)
  БизнесАвтоматика НПЦ (1, 4)
  SAP SE (2, 3)
  B2B-Center (Центр развития экономики) (1, 3)
  Другие (13, 14)

  БизнесАвтоматика НПЦ (1, 12)
  B2B-Center (Центр развития экономики) (2, 8)
  Инжэниус Тим (1, 7)
  ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (1, 3)
  Логософт (Logosoft) (1, 2)
  Другие (5, 7)

  B2B-Center (Центр развития экономики) (1, 14)
  Инжэниус Тим (1, 13)
  БизнесАвтоматика НПЦ (1, 4)
  ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (2, 2)
  Когнитив (1, 1)
  Другие (6, 6)

  B2B-Center (Центр развития экономики) (1, 10)
  БизнесАвтоматика НПЦ (1, 6)
  Ediweb (Эдисофт) ранее Edisoft (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Visary Low-code платформа (ранее Визари АИС) - 120
  Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 99
  B2B-Center: Мои поставщики - 51
  ITender - 32
  SAP Supplier Relationship Management (SAP SRM) - 19
  Другие 274

  Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 15
  Comindware Управление Закупками - 10
  Visary Low-code платформа (ранее Визари АИС) - 4
  B2B-Center: Мои поставщики - 3
  ТЭК-Торг Федеральная электронная площадка - 2
  Другие 14

  Visary Low-code платформа (ранее Визари АИС) - 12
  B2B-Center: Мои поставщики - 7
  Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 7
  ATI.SU: Площадки АТИ - 3
  Vezubr - 2
  Другие 7

  B2B-Center: Мои поставщики - 14
  Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 13
  Visary Low-code платформа (ранее Визари АИС) - 4
  Умная Логистика Карго - 1
  Isource Processor - 1
  Другие 7

  B2B-Center: Мои поставщики - 10
  Visary Low-code платформа (ранее Визари АИС) - 6
  Ediweb DropCat - 1
  Другие 0