Nền tảng thương mại điện tử của Honda bị rò rỉ phục hồi mật khẩu – Dữ liệu các đại lý gặp rủi ro

Các lỗ hổng bảo mật được phát hiện trong nền tảng thương mại điện tử của Honda có thể đã bị khai thác để có quyền truy cập không hạn chế vào thông tin đại lý nhạy cảm.

Nhà nghiên cứu bảo mật Eaton Zveare cho biết trong một báo cáo được công bố vào tuần trước: “Kiểm soát truy cập bị hỏng/thiếu khiến có thể truy cập tất cả dữ liệu trên nền tảng, ngay cả khi đăng nhập bằng tài khoản thử nghiệm”.

Nền tảng này được thiết kế để bán các thiết bị điện, hàng hải, bãi cỏ và vườn tược. Nó không ảnh hưởng đến bộ phận ô tô của công ty Nhật Bản.

Tóm lại, vụ hack khai thác cơ chế đặt lại mật khẩu trên một trong các trang web của Honda, Power Equipment Tech Express (PETE), để đặt lại mật khẩu được liên kết với bất kỳ tài khoản nào và có được toàn quyền truy cập cấp quản trị viên.

Điều này có thể thực hiện được do API cho phép bất kỳ người dùng nào gửi yêu cầu đặt lại mật khẩu chỉ bằng cách biết tên người dùng hoặc địa chỉ email và không cần phải nhập mật khẩu gắn với tài khoản đó.

Được trang bị khả năng này, kẻ xấu có thể đăng nhập và chiếm đoạt một tài khoản khác, sau đó lợi dụng tính chất tuần tự của URL trang web đại lý (ví dụ: "admin.pedealer.honda[.]com/dealersite/<ID>/dashboard ) để có quyền truy cập trái phép vào bảng điều khiển quản trị của đại lý khác.

"Chỉ bằng cách tăng ID đó, tôi có thể truy cập vào dữ liệu của mọi đại lý," Zveare giải thích. "Mã JavaScript cơ bản lấy ID đó và sử dụng nó trong các lệnh gọi API để tìm nạp dữ liệu và hiển thị nó trên trang. Rất may, phát hiện này đã khiến bạn không cần phải đặt lại bất kỳ mật khẩu nào nữa."

Tệ hơn nữa, lỗ hổng thiết kế có thể đã được sử dụng để tiếp cận khách hàng của đại lý, chỉnh sửa trang web và sản phẩm của họ, tệ hơn là nâng cao đặc quyền cho quản trị viên của toàn bộ nền tảng – một tính năng chỉ dành cho nhân viên của Honda – bằng một thủ thuật đặc biệt. yêu cầu xem chi tiết mạng lưới đại lý.

Tổng cộng, các điểm yếu đã cho phép truy cập bất hợp pháp vào 21.393 đơn đặt hàng của khách hàng trên tất cả các đại lý từ tháng 8 năm 2016 đến tháng 3 năm 2023 1.570 trang web của đại lý (trong đó có 1.091 trang đang hoạt động), 3.588 tài khoản đại lý, 1.090 email của đại lý và 11.034 email của khách hàng.

Các tác nhân đe dọa cũng có thể tận dụng quyền truy cập vào các trang web đại lý này bằng cách cài mã skimmer hoặc mã khai thác tiền điện tử, do đó cho phép chúng thu được lợi nhuận bất hợp pháp.

Các lỗ hổng, sau khi được tiết lộ có trách nhiệm vào ngày 16 tháng 3 năm 2023, đã được Honda giải quyết kể từ ngày 3 tháng 4 năm 2023.

Tiết lộ được đưa ra vài tháng sau khi Zveare nêu chi tiết các vấn đề bảo mật trong Hệ thống quản lý thông tin chuẩn bị cho nhà cung cấp toàn cầu của Toyota (GSPIMS) và C360 CRM có thể đã được tận dụng để truy cập vào vô số dữ liệu của công ty và khách hàng.

Hương – Theo TheHackerNews