Toyota G-SPIMS Система управления информацией о поставщиках

Продукт
Разработчики: Toyota
Дата последнего релиза: 2022/11
Технологии: SRM - Управление взаимоотношениями с поставщиками

2023: Взлом исследователем глобальной системы управления информацией о поставщиках Toyota

Эксперт кибербезопасности из США Итон Звеаре за одну неделю обнаружил 4 критических уязвимости в системах Toyota. Об этом стало известно 8 февраля 2023 года.

Ошибки могли позволить скомпрометировать всю глобальную цепочку поставок автоконцерна и его поставщиков.

Специалисту удалось взломать глобальную систему управления информацией о поставщиках Toyota (G-SPIMS) — веб-приложение, используемое сотрудниками компании и их поставщиками для координации проектов, закупок и других задач, связанных с глобальной цепочкой поставок Toyota.

Image:4mccb22d5rvi1l20xmoq985cz2i9zdf0.png

Взлом был довольно прост в исполнении. Звеар обнаружил на веб-сайте бэкдор-механизм входа в систему, который позволил ему войти как корпоративный пользователь или поставщик Toyota, просто зная их электронную почту.

В результате он обнаружил адрес электронной почты системного администратора и смог войти в его учетную запись. Затем исследователь получил полный контроль над всей глобальной системой Toyota.

«
У меня был полный доступ к внутренним проектам Toyota, документам и учетным записям пользователей, включая учетные записи внешних партнеров/поставщиков Toyota, — сказал исследователь.
»

Эти внешние учетные записи включали пользователей из компаний Michelin, Continental, Stanley Black & Decker, Timken и других. Звеар сообщил Toyota о проблеме 3 ноября 2022 года, и через 20 дней компания объявила, что проблема устранена.TAdviser выпустил новую Карту «Цифровизация ритейла»: 280 разработчиков и поставщиков услуг 15.4 т

По словам специалиста, если бы злоумышленник обнаружил проблему, «последствия могли быть серьезными» - он мог бы совершить утечку данных, удалить их или изменить, чтобы нарушить глобальные операции Toyota.

Более того, киберпреступник мог бы провести целенаправленную фишинговую кампанию, чтобы попытаться получить данные для входа в корпоративную сеть. Это, вероятно, подвергло бы атаке другие системы Toyota.

«
Одно дело иметь более 14 000 корпоративных электронных писем, и совсем другое — иметь более 14 000 корпоративных электронных писем и точно знать, над чем они работают/над чем работали. Если пользователь-поставщик имеет привычку повторно использовать пароли, вполне возможно, что его собственная инфраструктура также может быть атакована, — сказал исследователь[1].
»

Примечания



СМ. ТАКЖЕ (1)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  БизнесАвтоматика НПЦ (120)
  Инжэниус Тим (95)
  B2B-Center (Центр развития экономики) (54)
  FogSoft (ФогСофт) (46)
  Единые Торговые Системы (ЕТС) (19)
  Другие (266)

  Инжэниус Тим (14)
  Comindware (Колловэар) (10)
  БизнесАвтоматика НПЦ (4)
  B2B-Center (Центр развития экономики) (3)
  ТЭК-Торг (2)
  Другие (20)

  БизнесАвтоматика НПЦ (12)
  Инжэниус Тим (7)
  B2B-Center (Центр развития экономики) (7)
  ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (3)
  Логософт (Logosoft) (2)
  Другие (7)

  B2B-Center (Центр развития экономики) (14)
  Инжэниус Тим (13)
  БизнесАвтоматика НПЦ (4)
  ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (2)
  Isource (Цифровые Закупочные Сервисы, ЦЗС) (1)
  Другие (7)

  B2B-Center (Центр развития экономики) (13)
  БизнесАвтоматика НПЦ (6)
  Ediweb (Эдисофт) ранее Edisoft (1)
  Другие (0)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  БизнесАвтоматика НПЦ (1, 120)
  Инжэниус Тим (1, 99)
  B2B-Center (Центр развития экономики) (6, 55)
  FogSoft (ФогСофт) (13, 43)
  SAP SE (8, 42)
  Другие (177, 243)

  Инжэниус Тим (1, 15)
  Comindware (Колловэар) (1, 10)
  БизнесАвтоматика НПЦ (1, 4)
  SAP SE (2, 3)
  B2B-Center (Центр развития экономики) (1, 3)
  Другие (13, 14)

  БизнесАвтоматика НПЦ (1, 12)
  B2B-Center (Центр развития экономики) (2, 8)
  Инжэниус Тим (1, 7)
  ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (1, 3)
  Цифровая логистика (1, 2)
  Другие (5, 7)

  B2B-Center (Центр развития экономики) (1, 14)
  Инжэниус Тим (1, 13)
  БизнесАвтоматика НПЦ (1, 4)
  ATI.SU, АТИ.СУ (ранее АвтоТрансИнфо) (2, 2)
  Isource (Цифровые Закупочные Сервисы, ЦЗС) (1, 1)
  Другие (6, 6)

  B2B-Center (Центр развития экономики) (2, 13)
  БизнесАвтоматика НПЦ (1, 6)
  Ediweb (Эдисофт) ранее Edisoft (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Visary Low-code платформа (ранее Визари АИС) - 120
  Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 99
  B2B-Center: Мои поставщики - 53
  ITender - 32
  Госзакупки (ЕТС) - 19
  Другие 275

  Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 15
  Comindware Управление Закупками - 10
  Visary Low-code платформа (ранее Визари АИС) - 4
  B2B-Center: Мои поставщики - 3
  ТЭК-Торг Федеральная электронная площадка - 2
  Другие 14

  Visary Low-code платформа (ранее Визари АИС) - 12
  Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 7
  B2B-Center: Мои поставщики - 7
  ATI.SU: Площадки АТИ - 3
  Vezubr - 2
  Другие 7

  B2B-Center: Мои поставщики - 14
  Forecast NOW Программа для прогнозирования спроса и управления товарными запасами - 13
  Visary Low-code платформа (ранее Визари АИС) - 4
  Naumen GPMS – Управление закупками - 1
  Ediweb DropCat - 1
  Другие 7

  B2B-Center: Мои поставщики - 12
  Visary Low-code платформа (ранее Визари АИС) - 6
  Ediweb DropCat - 1
  B2B-Center: ЭТП Плюс Система управления закупками и поставщиками - 1
  Другие 0