Уязвимостите в сигурността, открити в платформата за електронна търговия на Honda, е можело да бъдат използвани за неограничен достъп до чувствителна информация за дилърите.

„Нарушените/пропуснатите контроли за достъп даваха възможност за достъп до всички данни в платформата, дори когато сте влезли в нея като тестови акаунт“, заяви изследователят по сигурността Итън Звеаре в доклад, публикуван миналата седмица.

Платформата е предназначена за продажба на електрооборудване, морска техника, тревни площи и градини. Тя не оказва влияние върху автомобилното подразделение на японската компания.

Накратко, хакерската атака използва механизма за промяна на паролата на един от сайтовете на Honda – Power Equipment Tech Express (PETE), за да промени паролата, свързана с всеки акаунт, и да получи пълен достъп на ниво администратор.

Това става възможно благодарение на факта, че API позволява на всеки потребител да изпрати заявка за нулиране на парола, като просто знае потребителското име или имейл адреса и без да се налага да въвежда парола, свързана с този акаунт.

Въоръжен с тази възможност, злонамерен хакер би могъл да влезе и да превземе друг акаунт, а впоследствие да се възползва от последователния характер на URL адресите на дилърските сайтове (т.е. „admin.pedealer.honda[.]com/dealersite/<ID>/dashboard), за да получи неоторизиран достъп до административното табло на друг дилър.

„Само чрез увеличаване на този идентификатор можех да получа достъп до данните на всеки дилър“, обяснява Звеаре. „Основният код на JavaScript взема този ID и го използва в API повиквания, за да извлича данни и да ги показва на страницата. За щастие, това откритие обезсмисли нуждата от нулиране на повече пароли.“

За да се влошат нещата, недостатъкът в дизайна е можел да бъде използван за достъп до клиентите на даден дилър, за редактиране на уебсайта и продуктите му, и още по-лошо, за повишаване на привилегиите до администратор на цялата платформа – функция, ограничена до служителите на Honda – чрез специално подготвена заявка за преглед на данни за дилърската мрежа.

Като цяло слабостите са позволили нелегитимен достъп до 21 393 поръчки на клиенти във всички дилъри от август 2016 г. до март 2023 г. 1 570 уебсайта на дилъри (от които 1 091 са активни), 3 588 акаунта на дилъри, 1 090 имейла на дилъри и 11 034 имейла на клиенти.

Участниците в банди биха могли също така да използват достъпа до тези дилърски уебсайтове, като подхвърлят скимиращ код или код за добив на криптовалута, като по този начин им позволяват да получат незаконни печалби.

Уязвимостите, след отговорното им оповестяване на 16 март 2023 г., са отстранени от Honda на 3 април 2023 г.

Разкриването идва месеци след като Звеаре подробно описа проблеми със сигурността в Глобалната система за управление на информацията за подготовка на доставчиците (GSPIMS) и C360 CRM на Toyota, които биха могли да бъдат използвани за достъп до множество корпоративни и клиентски данни.

Източник: The Hacker News

Подобни публикации

18 април 2025

Глобална компания за събития стана жертва на се...

Legends International, водещ доставчик на услуги за спортни, развле...
17 април 2025

Китайска APT група използва усъвършенстван бекд...

Нови версии на бекдора BrickStorm, използван при компрометирането н...
17 април 2025

Крис Кребс напуска SentinelOne заради войната с...

Бившият директор на Агенцията за киберсигурност и инфраструктурна с...
17 април 2025

Apple пусна спешни ъпдейти за iOS и macOS

На 17 април (сряда) Apple публикува извънредни ъпдейти за операцион...
17 април 2025

Starlink превзе интернет пазара в Нигерия, но н...

В началото на 2023 г. Нигерия стана първата африканска държава, в к...
16 април 2025

CISA гарантира непрекъсната работа на програмат...

Американската Агенция за киберсигурност и сигурност на инфраструкту...
Бъдете социални
Още по темата
29/09/2024

Милиони автомобили на Kia с...

Купувачите на автомобили обикновено имат много...
26/09/2024

Джо Гранд - пакостник, вред...

Джо Гранд – от „дивото“ дете...
22/03/2024

Хакерският екип "Synacktiv"...

Инициативата Zero Day присъди общо 732...
Последно добавени
18/04/2025

Глобална компания за събити...

Legends International, водещ доставчик на услуги...
17/04/2025

Китайска APT група използва...

Нови версии на бекдора BrickStorm, използван...
17/04/2025

Крис Кребс напуска Sentinel...

Бившият директор на Агенцията за киберсигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!