Language
As falhas da Honda API expuseram dados de clientes, painéis de revendedores e documentos internos

Notícias

LarLar / Notícias / As falhas da Honda API expuseram dados de clientes, painéis de revendedores e documentos internos
search
NOTÍCIAS RECENTES

Mar 07, 2023

O pó verde é bom para você? Prós e contras, informações nutricionais e muito mais

Mar 09, 2023

Juice Plus+: produtos, embora não exatamente frescos

Mar 11, 2023

Como fazer verduras caseiras em pó usando uma fritadeira

Mar 13, 2023

Os pós verdes são saudáveis ​​e ajudam você a colocar seus vegetais?

Mar 15, 2023

Congelar

ENVIE SUA PERGUNTA
ENVIAR

Jun 02, 2023

As falhas da Honda API expuseram dados de clientes, painéis de revendedores e documentos internos

A plataforma de e-commerce da Honda para equipamentos elétricos, marinhos, gramados e jardins foi

A plataforma de comércio eletrônico da Honda para equipamentos elétricos, marinhos, gramados e jardins estava vulnerável a acesso não autorizado por qualquer pessoa devido a falhas de API que permitiam a redefinição de senha para qualquer conta.

A Honda é uma fabricante japonesa de automóveis, motocicletas e equipamentos de força. Nesse caso, apenas a última divisão é afetada, portanto, os proprietários de carros ou motocicletas Honda não são afetados.

A falha de segurança nos sistemas da Honda foi descoberta pelo pesquisador de segurança Eaton Zveare, o mesmo que invadiu o portal de fornecedores da Toyota alguns meses atrás, aproveitando vulnerabilidades semelhantes.

Para a Honda, a Eaton Works explorou uma API de redefinição de senha para redefinir a senha de contas valiosas e, em seguida, aproveitar o acesso irrestrito aos dados em nível de administrador na rede da empresa.

“Controles de acesso quebrados/ausentes possibilitaram o acesso a todos os dados da plataforma, mesmo quando conectado como uma conta de teste”, explica o pesquisador.

Como resultado, as seguintes informações foram expostas ao pesquisador de segurança e possivelmente aos agentes de ameaças que aproveitam a mesma vulnerabilidade:

Os dados acima podem ser usados ​​para lançar campanhas de phishing, ataques de engenharia social ou vendidos em fóruns de hackers e mercados da dark web.

Além disso, tendo acesso aos sites dos revendedores, os invasores podem plantar skimmers de cartão de crédito ou outros trechos maliciosos de JavaScript.

Zveare explica que a falha da API está na plataforma de comércio eletrônico da Honda, que atribui subdomínios "powerdealer.honda.com" a revendedores/concessionários registrados.

O pesquisador descobriu que a API de redefinição de senha em um dos sites da Honda, Power Equipment Tech Express (PETE), processava solicitações de redefinição sem um token ou a senha anterior, exigindo apenas um e-mail válido.

Embora essa vulnerabilidade não esteja presente no portal de login dos subdomínios de comércio eletrônico, as credenciais trocadas por meio do site PETE ainda funcionarão neles, para que qualquer pessoa possa acessar os dados internos da concessionária por meio desse ataque simples.

A única peça que falta é ter um endereço de e-mail válido pertencente a um revendedor, que o pesquisador obteve de um vídeo do YouTube que demonstrava o painel do revendedor usando uma conta de teste.

O próximo passo foi acessar informações de dealers reais além da conta de teste. No entanto, seria preferível fazê-lo sem interromper seu funcionamento e sem ter que redefinir as senhas de centenas de contas.

A solução que o pesquisador encontrou foi aproveitar uma segunda vulnerabilidade, que é a atribuição sequencial de IDs de usuário na plataforma e a falta de proteções de acesso.

Isso tornou possível acessar os painéis de dados de todas as concessionárias Honda de forma arbitrária, incrementando o ID do usuário em um até que não houvesse nenhum outro resultado.

"Apenas incrementando esse ID, eu poderia obter acesso aos dados de cada revendedor. O código JavaScript subjacente pega esse ID e o usa em chamadas de API para buscar dados e exibi-los na página. Felizmente, essa descoberta tornou a necessidade de redefinir mais senhas discutível ." disse Zvaere.

Vale a pena notar que a falha acima pode ter sido explorada pelos revendedores registrados da Honda para acessar os painéis de outros revendedores e, por extensão, seus pedidos, detalhes do cliente etc.

A etapa final do ataque foi acessar o painel de administração da Honda, que é o ponto de controle central da plataforma de comércio eletrônico da empresa.

O pesquisador o acessou modificando uma resposta HTTP para parecer que ele era um administrador, dando a ele acesso ilimitado à plataforma Honda Dealer Sites.

O exposto acima foi relatado à Honda em 16 de março de 2023 e, em 3 de abril de 2023, a empresa japonesa confirmou que todos os problemas foram corrigidos.

Sem nenhum programa de recompensas por bugs, a Honda não recompensou Zveare por sua denúncia responsável, que é o mesmo resultado do caso da Toyota.

Hackers visam falha de plugin do Wordpress após exploração de PoC lançada

O bug do plug-in de campo personalizado do WordPress expõe mais de 1 milhão de sites a ataques XSS

PrestaShop corrige bug que permite que qualquer usuário de back-end exclua bancos de dados