Хак с нулиране на пароли в платформата за електронна търговия на Honda

Уязвимостите в сигурността, открити в платформата за електронна търговия на Honda, е можело да бъдат използвани за неограничен достъп до чувствителна информация за дилърите.

„Нарушените/пропуснатите контроли за достъп даваха възможност за достъп до всички данни в платформата, дори когато сте влезли в нея като тестови акаунт“, заяви изследователят по сигурността Итън Звеаре в доклад, публикуван миналата седмица.

Платформата е предназначена за продажба на електрооборудване, морска техника, тревни площи и градини. Тя не оказва влияние върху автомобилното подразделение на японската компания.

Накратко, хакерската атака използва механизма за промяна на паролата на един от сайтовете на Honda – Power Equipment Tech Express (PETE), за да промени паролата, свързана с всеки акаунт, и да получи пълен достъп на ниво администратор.

Това става възможно благодарение на факта, че API позволява на всеки потребител да изпрати заявка за нулиране на парола, като просто знае потребителското име или имейл адреса и без да се налага да въвежда парола, свързана с този акаунт.

Въоръжен с тази възможност, злонамерен хакер би могъл да влезе и да превземе друг акаунт, а впоследствие да се възползва от последователния характер на URL адресите на дилърските сайтове (т.е. „admin.pedealer.honda[.]com/dealersite/<ID>/dashboard), за да получи неоторизиран достъп до административното табло на друг дилър.

„Само чрез увеличаване на този идентификатор можех да получа достъп до данните на всеки дилър“, обяснява Звеаре. „Основният код на JavaScript взема този ID и го използва в API повиквания, за да извлича данни и да ги показва на страницата. За щастие, това откритие обезсмисли нуждата от нулиране на повече пароли.“

За да се влошат нещата, недостатъкът в дизайна е можел да бъде използван за достъп до клиентите на даден дилър, за редактиране на уебсайта и продуктите му, и още по-лошо, за повишаване на привилегиите до администратор на цялата платформа – функция, ограничена до служителите на Honda – чрез специално подготвена заявка за преглед на данни за дилърската мрежа.

Като цяло слабостите са позволили нелегитимен достъп до 21 393 поръчки на клиенти във всички дилъри от август 2016 г. до март 2023 г. 1 570 уебсайта на дилъри (от които 1 091 са активни), 3 588 акаунта на дилъри, 1 090 имейла на дилъри и 11 034 имейла на клиенти.

Участниците в банди биха могли също така да използват достъпа до тези дилърски уебсайтове, като подхвърлят скимиращ код или код за добив на криптовалута, като по този начин им позволяват да получат незаконни печалби.

Уязвимостите, след отговорното им оповестяване на 16 март 2023 г., са отстранени от Honda на 3 април 2023 г.

Разкриването идва месеци след като Звеаре подробно описа проблеми със сигурността в Глобалната система за управление на информацията за подготовка на доставчиците (GSPIMS) и C360 CRM на Toyota, които биха могли да бъдат използвани за достъп до множество корпоративни и клиентски данни.

Източник: The Hacker News

Подобни публикации

4 октомври 2023

Киберсигурността: ключов фактор за настоящето и...

Месецът за повишаване на осведомеността за киберсигурността се отбе...
4 октомври 2023

Моделите на PyTorch са уязвими за изпълнение на...

Изследователи в областта на киберсигурността са разкрили множество ...
4 октомври 2023

Qualcomm издава кръпка за 3 нови нулеви дни

Производителят на чипове Qualcomm пусна актуализации за сигурност, ...
4 октомври 2023

Над 3 дузини зловредни пакети npm са насочени к...

Според констатации на Fortinet FortiGuard Labs в хранилището за пак...
4 октомври 2023

Милиони мейл сървъри на Exim са изложени на zer...

Критична уязвимост от типа „нулев ден“ във всички верси...
3 октомври 2023

Cyber Security Talks Bulgaria – ОКТОМВРИ 2023

На 10.10.2023 г. във Висшето военноморско училище в гр. Варна ще се...
Бъдете социални
Още по темата
15/08/2023

Атаките MaginotDNS използва...

Екип от изследователи от Калифорнийския университет...
09/08/2023

Джейлбрейкване на Tesla от...

Автомобилите Tesla са уязвими към почти...
08/08/2023

LetMeSpy се закрива

LetMeSpy се закри месец след нарушението...
Последно добавени
04/10/2023

Киберсигурността: ключов фа...

Месецът за повишаване на осведомеността за...
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
04/10/2023

Qualcomm издава кръпка за 3...

Производителят на чипове Qualcomm пусна актуализации...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!