| Разработчики: | Toyota |
| Дата последнего релиза: | 2022/11 |
| Технологии: | SRM - Управление взаимоотношениями с поставщиками |
2023: Взлом исследователем глобальной системы управления информацией о поставщиках Toyota
Эксперт кибербезопасности из США Итон Звеаре за одну неделю обнаружил 4 критических уязвимости в системах Toyota. Об этом стало известно 8 февраля 2023 года.
Ошибки могли позволить скомпрометировать всю глобальную цепочку поставок автоконцерна и его поставщиков.
Специалисту удалось взломать глобальную систему управления информацией о поставщиках Toyota (G-SPIMS) — веб-приложение, используемое сотрудниками компании и их поставщиками для координации проектов, закупок и других задач, связанных с глобальной цепочкой поставок Toyota.
Взлом был довольно прост в исполнении. Звеар обнаружил на веб-сайте бэкдор-механизм входа в систему, который позволил ему войти как корпоративный пользователь или поставщик Toyota, просто зная их электронную почту.
В результате он обнаружил адрес электронной почты системного администратора и смог войти в его учетную запись. Затем исследователь получил полный контроль над всей глобальной системой Toyota.
 | У меня был полный доступ к внутренним проектам Toyota, документам и учетным записям пользователей, включая учетные записи внешних партнеров/поставщиков Toyota, — сказал исследователь. |  |
Эти внешние учетные записи включали пользователей из компаний Michelin, Continental, Stanley Black & Decker, Timken и других. Звеар сообщил Toyota о проблеме 3 ноября 2022 года, и через 20 дней компания объявила, что проблема устранена.Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser 
По словам специалиста, если бы злоумышленник обнаружил проблему, «последствия могли быть серьезными» - он мог бы совершить утечку данных, удалить их или изменить, чтобы нарушить глобальные операции Toyota.
Более того, киберпреступник мог бы провести целенаправленную фишинговую кампанию, чтобы попытаться получить данные для входа в корпоративную сеть. Это, вероятно, подвергло бы атаке другие системы Toyota.
| | Одно дело иметь более 14 000 корпоративных электронных писем, и совсем другое — иметь более 14 000 корпоративных электронных писем и точно знать, над чем они работают/над чем работали. Если пользователь-поставщик имеет привычку повторно использовать пароли, вполне возможно, что его собственная инфраструктура также может быть атакована, — сказал исследователь[1]. | |
Примечания
Подрядчики-лидеры по количеству проектов
БизнесАвтоматика НПЦ (119) Инжэниус Тим (90) FogSoft (ФогСофт) (46) B2B-Center (Центр развития экономики) (43) Единые Торговые Системы (ЕТС) (19) Другие (266) Инжэниус Тим (14) Comindware (Колловэар) (10) БизнесАвтоматика НПЦ (4) B2B-Center (Центр развития экономики) (3) SAP CIS (САП СНГ) (2) Другие (20) БизнесАвтоматика НПЦ (13) Инжэниус Тим (7) B2B-Center (Центр развития экономики) (7) ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (3) Логософт (Logosoft) (2) Другие (7)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
БизнесАвтоматика НПЦ (1, 119) Инжэниус Тим (1, 93) B2B-Center (Центр развития экономики) (5, 44) FogSoft (ФогСофт) (13, 43) SAP SE (8, 42) Другие (173, 243) Инжэниус Тим (1, 15) Comindware (Колловэар) (1, 10) БизнесАвтоматика НПЦ (1, 4) SAP SE (2, 3) B2B-Center (Центр развития экономики) (1, 3) Другие (13, 14) БизнесАвтоматика НПЦ (1, 13) B2B-Center (Центр развития экономики) (2, 8) Инжэниус Тим (1, 7) ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (1, 3) Цифровая логистика (1, 2) Другие (5, 7) B2B-Center (Центр развития экономики) (1, 13) Инжэниус Тим (1, 12) БизнесАвтоматика НПЦ (1, 6) ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (2, 2) Когнитив (1, 1) Другие (6, 6) B2B-Center (Центр развития экономики) (1, 3) БизнесАвтоматика НПЦ (1, 2) Ediweb (Эдисофт) ранее Edisoft (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
Visary Low-code платформа (ранее Визари АИС) - 119 Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 93 B2B-Center: Мои поставщики - 43 ITender - 32 SAP Supplier Relationship Management (SAP SRM) - 19 Другие 274 Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 15 Comindware Управление Закупками - 10 Visary Low-code платформа (ранее Визари АИС) - 4 B2B-Center: Мои поставщики - 3 ТЭК-Торг Федеральная электронная площадка - 2 Другие 14 Visary Low-code платформа (ранее Визари АИС) - 13 B2B-Center: Мои поставщики - 7 Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 7 ATI.SU: Площадки АТИ - 3 Электронная торговая площадка Грузовые перевозки (ЭТП ГП) - 2 Другие 7 
