Недостатки API Honda раскрывают данные клиентов, панели дилеров и внутренние документы

Новости

ДомДом / Новости / Недостатки API Honda раскрывают данные клиентов, панели дилеров и внутренние документы

Jun 02, 2023

Недостатки API Honda раскрывают данные клиентов, панели дилеров и внутренние документы

Платформа электронной коммерции Honda для силового оборудования, морского, газонного и садового оборудования была

Платформа электронной коммерции Honda для силового, морского, газонного и садового оборудования была уязвима для несанкционированного доступа из-за недостатков API, которые позволяли сбросить пароль для любой учетной записи.

Honda — японский производитель автомобилей, мотоциклов и силового оборудования. В этом случае затрагивается только последнее подразделение, поэтому владельцы автомобилей или мотоциклов Honda не затрагиваются.

Брешь в безопасности в системах Honda была обнаружена исследователем безопасности Итоном Звере, тем самым, который несколько месяцев назад взломал портал поставщиков Toyota, воспользовавшись аналогичными уязвимостями.

Для Honda компания Eaton Works использовала API сброса паролей, чтобы сбросить пароли ценных учетных записей, а затем получить неограниченный доступ к данным на уровне администратора в сети компании.

«Неисправные/отсутствующие элементы управления доступом позволили получить доступ ко всем данным на платформе даже при входе в систему под тестовой учетной записью», — объясняет исследователь.

В результате исследователю безопасности и, возможно, злоумышленникам, воспользовавшимся той же уязвимостью, была предоставлена ​​следующая информация:

Вышеуказанные данные могут быть использованы для запуска фишинговых кампаний, атак социальной инженерии или проданы на хакерских форумах и рынках даркнета.

Кроме того, имея доступ к сайтам дилеров, злоумышленники могут установить скиммеры кредитных карт или другие вредоносные фрагменты JavaScript.

Звеаре объясняет, что недостаток API кроется в платформе электронной коммерции Honda, которая назначает субдомены «powerdealer.honda.com» зарегистрированным реселлерам/дилерам.

Исследователь обнаружил, что API сброса пароля на одном из сайтов Honda, Power Equipment Tech Express (PETE), обрабатывал запросы на сброс без токена или предыдущего пароля, требуя только действующий адрес электронной почты.

Хотя этой уязвимости нет на портале входа в поддомены электронной коммерции, учетные данные, переключенные через сайт PETE, по-прежнему будут работать на них, поэтому любой может получить доступ к внутренним данным дилерского центра с помощью этой простой атаки.

Единственным недостающим элементом является действующий адрес электронной почты, принадлежащий дилеру, который исследователь получил из видеоролика на YouTube, в котором демонстрировалась панель дилера с использованием тестовой учетной записи.

Следующим шагом стал доступ к информации от реальных дилеров, помимо тестового аккаунта. Однако было бы предпочтительнее сделать это, не нарушая их работу и не сбрасывая пароли сотен учетных записей.

Решение, найденное исследователем, заключалось в использовании второй уязвимости, которая заключается в последовательном присвоении идентификаторов пользователей на платформе и отсутствии защиты доступа.

Это позволило произвольно получить доступ к панелям данных всех дилеров Honda, увеличивая идентификатор пользователя на единицу до тех пор, пока не перестанут появляться какие-либо другие результаты.

«Просто увеличив этот идентификатор, я мог бы получить доступ к данным каждого дилера. Базовый код JavaScript принимает этот идентификатор и использует его в вызовах API для получения данных и отображения их на странице. К счастью, это открытие сделало необходимость сброса паролей спорной. ." — сказал Звере.

Стоит отметить, что описанный выше недостаток мог быть использован зарегистрированными дилерами Honda для доступа к панелям других дилеров и, как следствие, к их заказам, данным клиентов и т. д.

Последним шагом атаки был доступ к панели администратора Honda, которая является центральной точкой управления платформой электронной коммерции компании.

Исследователь получил к нему доступ, изменив ответ HTTP, чтобы он выглядел так, как будто он был администратором, что дало ему неограниченный доступ к платформе сайтов дилеров Honda.

Об этом сообщили в компанию Honda 16 марта 2023 года, а к 3 апреля 2023 года японская фирма подтвердила, что все проблемы устранены.

Не имея программы вознаграждений за обнаружение ошибок, Хонда не вознаградила Звеаре за его ответственное сообщение, что привело к тому же результату, что и в случае с Toyota.

Хакеры нацелены на уязвимость плагина Wordpress после выхода эксплойта PoC

Ошибка плагина настраиваемых полей WordPress подвергает более 1 млн сайтов XSS-атакам

PrestaShop исправляет ошибку, которая позволяла любому серверному пользователю удалять базы данных