Разработчики: | Toyota |
Дата последнего релиза: | 2022/11 |
Технологии: | SRM - Управление взаимоотношениями с поставщиками |
2023: Взлом исследователем глобальной системы управления информацией о поставщиках Toyota
Эксперт кибербезопасности из США Итон Звеаре за одну неделю обнаружил 4 критических уязвимости в системах Toyota. Об этом стало известно 8 февраля 2023 года.
Ошибки могли позволить скомпрометировать всю глобальную цепочку поставок автоконцерна и его поставщиков.
Специалисту удалось взломать глобальную систему управления информацией о поставщиках Toyota (G-SPIMS) — веб-приложение, используемое сотрудниками компании и их поставщиками для координации проектов, закупок и других задач, связанных с глобальной цепочкой поставок Toyota.
Взлом был довольно прост в исполнении. Звеар обнаружил на веб-сайте бэкдор-механизм входа в систему, который позволил ему войти как корпоративный пользователь или поставщик Toyota, просто зная их электронную почту.
В результате он обнаружил адрес электронной почты системного администратора и смог войти в его учетную запись. Затем исследователь получил полный контроль над всей глобальной системой Toyota.
У меня был полный доступ к внутренним проектам Toyota, документам и учетным записям пользователей, включая учетные записи внешних партнеров/поставщиков Toyota, — сказал исследователь. |
Эти внешние учетные записи включали пользователей из компаний Michelin, Continental, Stanley Black & Decker, Timken и других. Звеар сообщил Toyota о проблеме 3 ноября 2022 года, и через 20 дней компания объявила, что проблема устранена.TAdviser Security 100: Крупнейшие ИБ-компании в России
По словам специалиста, если бы злоумышленник обнаружил проблему, «последствия могли быть серьезными» - он мог бы совершить утечку данных, удалить их или изменить, чтобы нарушить глобальные операции Toyota.
Более того, киберпреступник мог бы провести целенаправленную фишинговую кампанию, чтобы попытаться получить данные для входа в корпоративную сеть. Это, вероятно, подвергло бы атаке другие системы Toyota.
Одно дело иметь более 14 000 корпоративных электронных писем, и совсем другое — иметь более 14 000 корпоративных электронных писем и точно знать, над чем они работают/над чем работали. Если пользователь-поставщик имеет привычку повторно использовать пароли, вполне возможно, что его собственная инфраструктура также может быть атакована, — сказал исследователь[1]. |
Примечания
Подрядчики-лидеры по количеству проектов
БизнесАвтоматика НПЦ (120)
Инжэниус Тим (95)
B2B-Center (Центр развития экономики) (54)
FogSoft (ФогСофт) (46)
Единые Торговые Системы (ЕТС) (19)
Другие (266)
Инжэниус Тим (14)
Comindware (Колловэар) (10)
БизнесАвтоматика НПЦ (4)
B2B-Center (Центр развития экономики) (3)
ТЭК-Торг (2)
Другие (20)
БизнесАвтоматика НПЦ (12)
B2B-Center (Центр развития экономики) (7)
Инжэниус Тим (7)
ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (3)
Цифровая логистика (2)
Другие (7)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
БизнесАвтоматика НПЦ (1, 120)
Инжэниус Тим (1, 99)
B2B-Center (Центр развития экономики) (6, 55)
FogSoft (ФогСофт) (13, 43)
SAP SE (8, 42)
Другие (177, 243)
Инжэниус Тим (1, 15)
Comindware (Колловэар) (1, 10)
БизнесАвтоматика НПЦ (1, 4)
SAP SE (2, 3)
B2B-Center (Центр развития экономики) (1, 3)
Другие (13, 14)
БизнесАвтоматика НПЦ (1, 12)
B2B-Center (Центр развития экономики) (2, 8)
Инжэниус Тим (1, 7)
ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (1, 3)
Цифровая логистика (1, 2)
Другие (5, 7)
B2B-Center (Центр развития экономики) (1, 14)
Инжэниус Тим (1, 13)
БизнесАвтоматика НПЦ (1, 4)
ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (2, 2)
Isource (Цифровые Закупочные Сервисы, ЦЗС) (1, 1)
Другие (6, 6)
B2B-Center (Центр развития экономики) (2, 13)
БизнесАвтоматика НПЦ (1, 6)
Ediweb (Эдисофт) ранее Edisoft (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
Visary Low-code платформа (ранее Визари АИС) - 120
Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 99
B2B-Center: Мои поставщики - 53
ITender - 32
Госзакупки (ЕТС) - 19
Другие 275
Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 15
Comindware Управление Закупками - 10
Visary Low-code платформа (ранее Визари АИС) - 4
B2B-Center: Мои поставщики - 3
ТЭК-Торг Федеральная электронная площадка - 2
Другие 14
Visary Low-code платформа (ранее Визари АИС) - 12
B2B-Center: Мои поставщики - 7
Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 7
ATI.SU: Площадки АТИ - 3
Vezubr - 2
Другие 7