在作为Tesla Bug Bounty Program 的一部分测试各种 Tesla 网络应用程序时，我创建了许多 Tesla 用户帐户。

有一次，在创建新帐户时，我很好奇是否可以使用 Tesla 电子邮件地址注册一个帐户。

对于后台，Tesla 有许多网络应用程序。

对于所有这些应用程序的 SSO，Tesla 有两个主要的身份提供者 (IDP)，用于外部用户的 auth.tesla.com 和用于员工的 sso.telsa.com。

我的安全测试涉及 auth.tesla.com。

我发现外部 auth.tesla.com 允许用户使用 @tesla.com 和 @teslamotors.com 电子邮件地址注册新帐户。

此外，没有电子邮件验证，这意味着可以使用我无权访问的电子邮件地址创建一个帐户。

通过进一步测试，任何使用有效内部 Tesla 电子邮件地址注册外部帐户的尝试都会报告该电子邮件地址已被占用。因此，充其量，我的想法是，在适当的条件下，这可能会被用于账户前接管，这是一个影响相当小的问题。

那么，本质上与账户前接管相反的情况又如何呢？如果我能够注册一个过去使用过的帐户，而不是使用我希望将来使用的电子邮件地址创建一个帐户，该帐户不再在特斯拉的内部 IDP 上处于活动状态，但可能仍具有内部分配的特权，那该怎么办各种网络应用程序？帐户后接管，如果你愿意的话。

由于我之前发现的一个漏洞，我对 Tesla Retail Tool (TRT) 相当熟悉。

TRT 存储机密的 IT 和商业信息，例如网络电路信息、本地设备登录、ISP 和公用事业帐户的网络登录、财务信息以及有关当前、即将到来和以前的 Tesla 位置的详细信息，例如租赁条款、内部和外部联系信息、特斯拉物业限制区域的建筑平面图和内部照片。

我知道 TRT 允许从内部和外部帐户访问。

对于身份验证

它使用了一个 JWT，它指定了一个电子邮件地址，该电子邮件地址是根据应用程序中手动定义的用户列表进行身份验证的。以特斯拉的规模，每次员工离职时都很难手动更新该列表。

从理论上讲，如果过去的员工在网络应用程序中定义了访问权限应该没问题，因为他们的 IDP 帐户将被禁用或删除，因此无法通过特斯拉的内部 IDP 登录该应用程序。

但是，如果可以使用特斯拉前员工的内部电子邮件地址注册外部帐户，该电子邮件地址可以访问 TRT 并获得对 Web 应用程序的访问权限，而特权仍然分配给现已失效的电子邮件地址呢？这会给我一个有效的 JWT 和受害者的电子邮件地址，就像我通过内部 IDP 登录一样吗？

我使用 Google Dorks 搜索了前特斯拉员工的 LinkedIn 个人资料，这些员工担任的职位本应有权访问 TRT，尤其是有权访问敏感信息。

例如，

site:linkedin.com inurl:/in “field systems” “tesla motors” -intitle:tesla -inurl:posts

这找到了应该有权访问网络信息的前现场 IT 人员。

在测试中，可以使用前特斯拉员工的电子邮件在 auth.tesla.com（外部 IDP）上注册一个帐户，该电子邮件仍然在 TRT 中分配了特权。

然后，我可以使用内部 IDP 帐户可能已被清除的前雇员的身份和权限访问 Tesla Retail Tool，方法是在公共 IDP 上使用相同的电子邮件地址创建一个帐户。这对前雇员的多个电子邮件地址进行了多次尝试。

TL;DR Tesla 有两个身份提供者 (IDP)，用于外部用户的 auth.tesla.com 和用于员工的 sso.telsa.com。

Tesla Retail Tool (TRT) 允许从两者登录，但不检查用户登录的 IDP（auth.tesla.com 与 sso.tesla.com）。这是为了通过 Google Dorks，我能够识别姓名并推断出前特斯拉员工的电子邮件地址，然后使用其帐户已在内部 IDP 上被禁用的前雇员的电子邮件地址向外部 IDP 注册帐户，但谁他们仍然拥有 TRT 内部 Tesla 电子邮件地址所定义的特权，并最终以这些用户的特权登录 TRT。

2022 年 11 月 19 日——提交漏洞报告

2022 年 11 月 20 日——特斯拉验证了漏洞并开始修复过程

2022 年 11 月 21 日——我通知特斯拉，我可以确认我在报告中创建的账户无法再访问 TRT

2022 年 11 月 29 日——特斯拉被标记为已解决并获得赏金

漏洞披露地址：https://bugcrowd.com/disclosures/4d9d22af-3a9f-45ce-8eef-8d4fba06a205/auth-tesla-com-account-takeover-of-internal-tesla-accounts

本文作者：HACK_Learn

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/198986.html