| Разработчики: | Toyota |
| Дата последнего релиза: | 2022/11 |
| Технологии: | SRM - Управление взаимоотношениями с поставщиками |
2023: Взлом исследователем глобальной системы управления информацией о поставщиках Toyota
Эксперт кибербезопасности из США Итон Звеаре за одну неделю обнаружил 4 критических уязвимости в системах Toyota. Об этом стало известно 8 февраля 2023 года.
Ошибки могли позволить скомпрометировать всю глобальную цепочку поставок автоконцерна и его поставщиков.
Специалисту удалось взломать глобальную систему управления информацией о поставщиках Toyota (G-SPIMS) — веб-приложение, используемое сотрудниками компании и их поставщиками для координации проектов, закупок и других задач, связанных с глобальной цепочкой поставок Toyota.
Взлом был довольно прост в исполнении. Звеар обнаружил на веб-сайте бэкдор-механизм входа в систему, который позволил ему войти как корпоративный пользователь или поставщик Toyota, просто зная их электронную почту.
В результате он обнаружил адрес электронной почты системного администратора и смог войти в его учетную запись. Затем исследователь получил полный контроль над всей глобальной системой Toyota.
 | У меня был полный доступ к внутренним проектам Toyota, документам и учетным записям пользователей, включая учетные записи внешних партнеров/поставщиков Toyota, — сказал исследователь. |  |
Эти внешние учетные записи включали пользователей из компаний Michelin, Continental, Stanley Black & Decker, Timken и других. Звеар сообщил Toyota о проблеме 3 ноября 2022 года, и через 20 дней компания объявила, что проблема устранена.Павел Бобу, Cloud Networks: В 2024 году больше всего запросов было на ИБ-консалтинг 
По словам специалиста, если бы злоумышленник обнаружил проблему, «последствия могли быть серьезными» - он мог бы совершить утечку данных, удалить их или изменить, чтобы нарушить глобальные операции Toyota.
Более того, киберпреступник мог бы провести целенаправленную фишинговую кампанию, чтобы попытаться получить данные для входа в корпоративную сеть. Это, вероятно, подвергло бы атаке другие системы Toyota.
| | Одно дело иметь более 14 000 корпоративных электронных писем, и совсем другое — иметь более 14 000 корпоративных электронных писем и точно знать, над чем они работают/над чем работали. Если пользователь-поставщик имеет привычку повторно использовать пароли, вполне возможно, что его собственная инфраструктура также может быть атакована, — сказал исследователь[1]. | |
Примечания
Подрядчики-лидеры по количеству проектов
БизнесАвтоматика НПЦ (120) Инжэниус Тим (95) B2B-Center (Центр развития экономики) (55) FogSoft (ФогСофт) (46) Единые Торговые Системы (ЕТС) (19) Другие (266) БизнесАвтоматика НПЦ (12) B2B-Center (Центр развития экономики) (7) Инжэниус Тим (7) ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (3) Elma (Элма, Интеллект Лаб, Практика БПМ) (2) Другие (7) B2B-Center (Центр развития экономики) (14) Инжэниус Тим (13) БизнесАвтоматика НПЦ (4) ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (2) Умная Логистика (1) Другие (7)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
БизнесАвтоматика НПЦ (1, 120) Инжэниус Тим (1, 99) B2B-Center (Центр развития экономики) (6, 56) FogSoft (ФогСофт) (13, 43) SAP SE (8, 42) Другие (177, 243) БизнесАвтоматика НПЦ (1, 12) B2B-Center (Центр развития экономики) (2, 8) Инжэниус Тим (1, 7) ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (1, 3) Цифровая логистика (1, 2) Другие (5, 7) B2B-Center (Центр развития экономики) (1, 14) Инжэниус Тим (1, 13) БизнесАвтоматика НПЦ (1, 4) ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (2, 2) Когнитив (1, 1) Другие (6, 6) B2B-Center (Центр развития экономики) (2, 14) БизнесАвтоматика НПЦ (1, 6) Ediweb (Эдисофт) ранее Edisoft (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
Visary Low-code платформа (ранее Визари АИС) - 120 Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 99 B2B-Center: Мои поставщики - 54 ITender - 32 Госзакупки (ЕТС) - 19 Другие 275 Visary Low-code платформа (ранее Визари АИС) - 12 B2B-Center: Мои поставщики - 7 Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 7 ATI.SU: Площадки АТИ - 3 Vezubr - 2 Другие 7 B2B-Center: Мои поставщики - 14 Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 13 Visary Low-code платформа (ранее Визари АИС) - 4 E1-Закупки - 1 Умная Логистика Карго - 1 Другие 7 
