Търсене
Close this search box.

Хак с нулиране на пароли в платформата за електронна търговия на Honda

Уязвимостите в сигурността, открити в платформата за електронна търговия на Honda, е можело да бъдат използвани за неограничен достъп до чувствителна информация за дилърите.

„Нарушените/пропуснатите контроли за достъп даваха възможност за достъп до всички данни в платформата, дори когато сте влезли в нея като тестови акаунт“, заяви изследователят по сигурността Итън Звеаре в доклад, публикуван миналата седмица.

Платформата е предназначена за продажба на електрооборудване, морска техника, тревни площи и градини. Тя не оказва влияние върху автомобилното подразделение на японската компания.

Накратко, хакерската атака използва механизма за промяна на паролата на един от сайтовете на Honda – Power Equipment Tech Express (PETE), за да промени паролата, свързана с всеки акаунт, и да получи пълен достъп на ниво администратор.

Това става възможно благодарение на факта, че API позволява на всеки потребител да изпрати заявка за нулиране на парола, като просто знае потребителското име или имейл адреса и без да се налага да въвежда парола, свързана с този акаунт.

Въоръжен с тази възможност, злонамерен хакер би могъл да влезе и да превземе друг акаунт, а впоследствие да се възползва от последователния характер на URL адресите на дилърските сайтове (т.е. „admin.pedealer.honda[.]com/dealersite/<ID>/dashboard), за да получи неоторизиран достъп до административното табло на друг дилър.

„Само чрез увеличаване на този идентификатор можех да получа достъп до данните на всеки дилър“, обяснява Звеаре. „Основният код на JavaScript взема този ID и го използва в API повиквания, за да извлича данни и да ги показва на страницата. За щастие, това откритие обезсмисли нуждата от нулиране на повече пароли.“

За да се влошат нещата, недостатъкът в дизайна е можел да бъде използван за достъп до клиентите на даден дилър, за редактиране на уебсайта и продуктите му, и още по-лошо, за повишаване на привилегиите до администратор на цялата платформа – функция, ограничена до служителите на Honda – чрез специално подготвена заявка за преглед на данни за дилърската мрежа.

Като цяло слабостите са позволили нелегитимен достъп до 21 393 поръчки на клиенти във всички дилъри от август 2016 г. до март 2023 г. 1 570 уебсайта на дилъри (от които 1 091 са активни), 3 588 акаунта на дилъри, 1 090 имейла на дилъри и 11 034 имейла на клиенти.

Участниците в банди биха могли също така да използват достъпа до тези дилърски уебсайтове, като подхвърлят скимиращ код или код за добив на криптовалута, като по този начин им позволяват да получат незаконни печалби.

Уязвимостите, след отговорното им оповестяване на 16 март 2023 г., са отстранени от Honda на 3 април 2023 г.

Разкриването идва месеци след като Звеаре подробно описа проблеми със сигурността в Глобалната система за управление на информацията за подготовка на доставчиците (GSPIMS) и C360 CRM на Toyota, които биха могли да бъдат използвани за достъп до множество корпоративни и клиентски данни.

Източник: The Hacker News

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
Бъдете социални
Още по темата
22/03/2024

Хакерският екип "Synacktiv"...

Инициативата Zero Day присъди общо 732...
22/10/2023

Проникването в системите на...

Преди пет седмици Международният наказателен съд...
15/08/2023

Атаките MaginotDNS използва...

Екип от изследователи от Калифорнийския университет...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!