Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Casa
Jun 02, 2023
Difetti API Honda esposti: dati dei clienti, pannelli dei concessionari e documenti interni
Honda's e-commerce platform for power equipment, marine, lawn & garden, was
La piattaforma di e-commerce Honda per apparecchiature elettriche, marine, prati e giardini era vulnerabile all'accesso non autorizzato da parte di chiunque a causa di difetti API che consentono la reimpostazione della password per qualsiasi account.
Honda è un produttore giapponese di automobili, motociclette e apparecchiature elettriche. In questo caso, solo quest'ultima divisione è interessata, quindi i proprietari di auto o moto Honda non sono interessati.
La lacuna nella sicurezza dei sistemi Honda è stata scoperta dal ricercatore di sicurezza Eaton Zveare, lo stesso che ha violato il portale dei fornitori di Toyota qualche mese fa, sfruttando vulnerabilità simili.
Per Honda, Eaton Works ha sfruttato un'API di reimpostazione della password per reimpostare la password di account importanti e quindi usufruire di un accesso illimitato ai dati a livello di amministratore sulla rete dell'azienda.
"I controlli di accesso interrotti o mancanti hanno reso possibile l'accesso a tutti i dati sulla piattaforma, anche quando si è effettuato l'accesso come account di prova", spiega il ricercatore.
Di conseguenza, le seguenti informazioni sono state esposte al ricercatore di sicurezza e possibilmente agli autori delle minacce che sfruttavano la stessa vulnerabilità:
I dati di cui sopra potrebbero essere utilizzati per lanciare campagne di phishing, attacchi di ingegneria sociale o venduti su forum di hacker e mercati del dark web.
Inoltre, avendo accesso ai siti dei rivenditori, gli aggressori potrebbero installare skimmer di carte di credito o altri snippet JavaScript dannosi.
Zveare spiega che il difetto dell'API risiede nella piattaforma di e-commerce Honda, che assegna i sottodomini "powerdealer.honda.com" ai rivenditori/concessionari registrati.
Il ricercatore ha scoperto che l'API di reimpostazione della password su uno dei siti Honda, Power Equipment Tech Express (PETE), elaborava le richieste di reimpostazione senza un token o la password precedente, richiedendo solo un'e-mail valida.
Sebbene questa vulnerabilità non sia presente sul portale di accesso dei sottodomini dell'e-commerce, le credenziali scambiate tramite il sito PETE continueranno a funzionare su di essi, quindi chiunque può accedere ai dati interni della concessionaria attraverso questo semplice attacco.
L'unico pezzo mancante è avere un indirizzo email valido appartenente a un rivenditore, che il ricercatore ha ottenuto da un video di YouTube che mostrava la dashboard del rivenditore utilizzando un account di prova.
Il passo successivo è stato l'accesso alle informazioni di rivenditori reali oltre al conto di prova. Sarebbe però preferibile farlo senza interromperne il funzionamento e senza dover reimpostare le password di centinaia di account.
La soluzione trovata dal ricercatore è stata quella di sfruttare una seconda vulnerabilità, ovvero l’assegnazione sequenziale degli ID utente nella piattaforma e la mancanza di protezioni di accesso.
Ciò ha reso possibile accedere arbitrariamente ai pannelli dati di tutti i concessionari Honda incrementando di uno l'ID utente fino a quando non si ottenevano altri risultati.
"Semplicemente incrementando quell'ID ho potuto ottenere l'accesso ai dati di ogni rivenditore. Il codice JavaScript sottostante prende quell'ID e lo usa nelle chiamate API per recuperare i dati e visualizzarli sulla pagina. Per fortuna, questa scoperta ha reso discutibile la necessità di reimpostare altre password ." disse Zvaere.
Vale la pena notare che il difetto di cui sopra avrebbe potuto essere sfruttato dai concessionari registrati Honda per accedere ai pannelli di altri concessionari e, per estensione, ai loro ordini, ai dettagli dei clienti, ecc.
Il passo finale dell'attacco è stato l'accesso al pannello di amministrazione di Honda, che è il punto di controllo centrale della piattaforma di e-commerce dell'azienda.
Il ricercatore vi ha avuto accesso modificando una risposta HTTP per far sembrare che fosse un amministratore, dandogli accesso illimitato alla piattaforma Honda Dealer Sites.
Quanto sopra è stato segnalato alla Honda il 16 marzo 2023 e entro il 3 aprile 2023 l'azienda giapponese ha confermato che tutti i problemi erano stati risolti.
Non avendo in atto un programma di bug bounty, Honda non ha premiato Zveare per la sua segnalazione responsabile, che è lo stesso risultato del caso Toyota.
Gli hacker prendono di mira il difetto del plugin Wordpress dopo il rilascio dell'exploit PoC
Il bug del plug-in dei campi personalizzati di WordPress espone oltre 1 milione di siti ad attacchi XSS
PrestaShop risolve il bug che consente a qualsiasi utente backend di eliminare i database