Уязвимостите в сигурността, открити в платформата за електронна търговия на Honda, е можело да бъдат използвани за неограничен достъп до чувствителна информация за дилърите.
„Нарушените/пропуснатите контроли за достъп даваха възможност за достъп до всички данни в платформата, дори когато сте влезли в нея като тестови акаунт“, заяви изследователят по сигурността Итън Звеаре в доклад, публикуван миналата седмица.
Платформата е предназначена за продажба на електрооборудване, морска техника, тревни площи и градини. Тя не оказва влияние върху автомобилното подразделение на японската компания.
Накратко, хакерската атака използва механизма за промяна на паролата на един от сайтовете на Honda – Power Equipment Tech Express (PETE), за да промени паролата, свързана с всеки акаунт, и да получи пълен достъп на ниво администратор.
Това става възможно благодарение на факта, че API позволява на всеки потребител да изпрати заявка за нулиране на парола, като просто знае потребителското име или имейл адреса и без да се налага да въвежда парола, свързана с този акаунт.
Въоръжен с тази възможност, злонамерен хакер би могъл да влезе и да превземе друг акаунт, а впоследствие да се възползва от последователния характер на URL адресите на дилърските сайтове (т.е. „admin.pedealer.honda[.]com/dealersite/<ID>/dashboard), за да получи неоторизиран достъп до административното табло на друг дилър.
„Само чрез увеличаване на този идентификатор можех да получа достъп до данните на всеки дилър“, обяснява Звеаре. „Основният код на JavaScript взема този ID и го използва в API повиквания, за да извлича данни и да ги показва на страницата. За щастие, това откритие обезсмисли нуждата от нулиране на повече пароли.“
За да се влошат нещата, недостатъкът в дизайна е можел да бъде използван за достъп до клиентите на даден дилър, за редактиране на уебсайта и продуктите му, и още по-лошо, за повишаване на привилегиите до администратор на цялата платформа – функция, ограничена до служителите на Honda – чрез специално подготвена заявка за преглед на данни за дилърската мрежа.
Като цяло слабостите са позволили нелегитимен достъп до 21 393 поръчки на клиенти във всички дилъри от август 2016 г. до март 2023 г. 1 570 уебсайта на дилъри (от които 1 091 са активни), 3 588 акаунта на дилъри, 1 090 имейла на дилъри и 11 034 имейла на клиенти.
Участниците в банди биха могли също така да използват достъпа до тези дилърски уебсайтове, като подхвърлят скимиращ код или код за добив на криптовалута, като по този начин им позволяват да получат незаконни печалби.
Уязвимостите, след отговорното им оповестяване на 16 март 2023 г., са отстранени от Honda на 3 април 2023 г.
Разкриването идва месеци след като Звеаре подробно описа проблеми със сигурността в Глобалната система за управление на информацията за подготовка на доставчиците (GSPIMS) и C360 CRM на Toyota, които биха могли да бъдат използвани за достъп до множество корпоративни и клиентски данни.
