Nền tảng thương mại điện tử của Honda bị rò rỉ phục hồi mật khẩu – Dữ liệu các đại lý gặp rủi ro

www.tuoitre.vn -   12/06/2023 09:00:00 11719

Các lỗ hổng bảo mật được phát hiện trong nền tảng thương mại điện tử của Honda có thể đã bị khai thác để có quyền truy cập không hạn chế vào thông tin đại lý nhạy cảm.

Các lỗ hổng bảo mật được phát hiện trong nền tảng thương mại điện tử của Honda có thể đã bị khai thác để có quyền truy cập không hạn chế vào thông tin đại lý nhạy cảm.

Nhà nghiên cứu bảo mật Eaton Zveare cho biết trong một báo cáo được công bố vào tuần trước: “Kiểm soát truy cập bị hỏng/thiếu khiến có thể truy cập tất cả dữ liệu trên nền tảng, ngay cả khi đăng nhập bằng tài khoản thử nghiệm”.

Nền tảng này được thiết kế để bán các thiết bị điện, hàng hải, bãi cỏ và vườn tược. Nó không ảnh hưởng đến bộ phận ô tô của công ty Nhật Bản.

Tóm lại, vụ hack khai thác cơ chế đặt lại mật khẩu trên một trong các trang web của Honda, Power Equipment Tech Express (PETE), để đặt lại mật khẩu được liên kết với bất kỳ tài khoản nào và có được toàn quyền truy cập cấp quản trị viên.

Điều này có thể thực hiện được do API cho phép bất kỳ người dùng nào gửi yêu cầu đặt lại mật khẩu chỉ bằng cách biết tên người dùng hoặc địa chỉ email và không cần phải nhập mật khẩu gắn với tài khoản đó.

Được trang bị khả năng này, kẻ xấu có thể đăng nhập và chiếm đoạt một tài khoản khác, sau đó lợi dụng tính chất tuần tự của URL trang web đại lý (ví dụ: "admin.pedealer.honda[.]com/dealersite/<ID>/dashboard ) để có quyền truy cập trái phép vào bảng điều khiển quản trị của đại lý khác.

"Chỉ bằng cách tăng ID đó, tôi có thể truy cập vào dữ liệu của mọi đại lý," Zveare giải thích. "Mã JavaScript cơ bản lấy ID đó và sử dụng nó trong các lệnh gọi API để tìm nạp dữ liệu và hiển thị nó trên trang. Rất may, phát hiện này đã khiến bạn không cần phải đặt lại bất kỳ mật khẩu nào nữa."

Tệ hơn nữa, lỗ hổng thiết kế có thể đã được sử dụng để tiếp cận khách hàng của đại lý, chỉnh sửa trang web và sản phẩm của họ, tệ hơn là nâng cao đặc quyền cho quản trị viên của toàn bộ nền tảng – một tính năng chỉ dành cho nhân viên của Honda – bằng một thủ thuật đặc biệt. yêu cầu xem chi tiết mạng lưới đại lý.

Tổng cộng, các điểm yếu đã cho phép truy cập bất hợp pháp vào 21.393 đơn đặt hàng của khách hàng trên tất cả các đại lý từ tháng 8 năm 2016 đến tháng 3 năm 2023 1.570 trang web của đại lý (trong đó có 1.091 trang đang hoạt động), 3.588 tài khoản đại lý, 1.090 email của đại lý và 11.034 email của khách hàng.

Các tác nhân đe dọa cũng có thể tận dụng quyền truy cập vào các trang web đại lý này bằng cách cài mã skimmer hoặc mã khai thác tiền điện tử, do đó cho phép chúng thu được lợi nhuận bất hợp pháp.

Các lỗ hổng, sau khi được tiết lộ có trách nhiệm vào ngày 16 tháng 3 năm 2023, đã được Honda giải quyết kể từ ngày 3 tháng 4 năm 2023.

Tiết lộ được đưa ra vài tháng sau khi Zveare nêu chi tiết các vấn đề bảo mật trong Hệ thống quản lý thông tin chuẩn bị cho nhà cung cấp toàn cầu của Toyota (GSPIMS) và C360 CRM có thể đã được tận dụng để truy cập vào vô số dữ liệu của công ty và khách hàng.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 194
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 163
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 166
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 176
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 147
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 86
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

LIÊN HỆ

Thông tin liên hệ