Уязвимостите в сигурността, открити в платформата за електронна търговия на Honda, е можело да бъдат използвани за неограничен достъп до чувствителна информация за дилърите.
„Нарушените/пропуснатите контроли за достъп даваха възможност за достъп до всички данни в платформата, дори когато сте влезли в нея като тестови акаунт“, заяви изследователят по сигурността Итън Звеаре в доклад, публикуван миналата седмица.
Платформата е предназначена за продажба на електрооборудване, морска техника, тревни площи и градини. Тя не оказва влияние върху автомобилното подразделение на японската компания.
Накратко, хакерската атака използва механизма за промяна на паролата на един от сайтовете на Honda – Power Equipment Tech Express (PETE), за да промени паролата, свързана с всеки акаунт, и да получи пълен достъп на ниво администратор.
Това става възможно благодарение на факта, че API позволява на всеки потребител да изпрати заявка за нулиране на парола, като просто знае потребителското име или имейл адреса и без да се налага да въвежда парола, свързана с този акаунт.
Въоръжен с тази възможност, злонамерен хакер би могъл да влезе и да превземе друг акаунт, а впоследствие да се възползва от последователния характер на URL адресите на дилърските сайтове (т.е. „admin.pedealer.honda[.]com/dealersite/<ID>/dashboard), за да получи неоторизиран достъп до административното табло на друг дилър.
„Само чрез увеличаване на този идентификатор можех да получа достъп до данните на всеки дилър“, обяснява Звеаре. „Основният код на JavaScript взема този ID и го използва в API повиквания, за да извлича данни и да ги показва на страницата. За щастие, това откритие обезсмисли нуждата от нулиране на повече пароли.“
За да се влошат нещата, недостатъкът в дизайна е можел да бъде използван за достъп до клиентите на даден дилър, за редактиране на уебсайта и продуктите му, и още по-лошо, за повишаване на привилегиите до администратор на цялата платформа – функция, ограничена до служителите на Honda – чрез специално подготвена заявка за преглед на данни за дилърската мрежа.
Като цяло слабостите са позволили нелегитимен достъп до 21 393 поръчки на клиенти във всички дилъри от август 2016 г. до март 2023 г. 1 570 уебсайта на дилъри (от които 1 091 са активни), 3 588 акаунта на дилъри, 1 090 имейла на дилъри и 11 034 имейла на клиенти.
Участниците в банди биха могли също така да използват достъпа до тези дилърски уебсайтове, като подхвърлят скимиращ код или код за добив на криптовалута, като по този начин им позволяват да получат незаконни печалби.
Уязвимостите, след отговорното им оповестяване на 16 март 2023 г., са отстранени от Honda на 3 април 2023 г.
Разкриването идва месеци след като Звеаре подробно описа проблеми със сигурността в Глобалната система за управление на информацията за подготовка на доставчиците (GSPIMS) и C360 CRM на Toyota, които биха могли да бъдат използвани за достъп до множество корпоративни и клиентски данни.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.