Сброс пароля - не панацея: как хакеры взломали платформу Honda и украли данные дилеров

В платформе электронной коммерции компании Honda, предназначенной для продажи оборудования, морских судов и садово-парковой техники, были обнаружены уязвимости безопасности, которые могли быть использованы для получения неограниченного доступа к конфиденциальной информации дилеров. Об этом сообщил в своем отчете , опубликованном на прошлой неделе, исследователь безопасности Итон Звеаре.

Суть хака заключается в том, что на одном из сайтов Honda, Power Equipment Tech Express (PETE), можно было сбросить пароль, связанный с любой учетной записью, и получить полный доступ к панели администратор. Это стало возможным из-за того, что API позволяет любому пользователю отправить запрос на сброс пароля, просто зная имя пользователя или адрес электронной почты, не вводя пароль, привязанный к этой учетной записи.

Имея такую возможность, злоумышленник мог войти в систему и захватить другую учетную запись, а затем воспользоваться последовательным характером URL-адресов сайтов дилеров (например, "admin.pedealer.honda [.]com/dealersite/<ID>/dashboard) для получения несанкционированного доступа к панели администратора другого дилера. "Просто увеличивая этот ID, я мог получить доступ ко всем данным дилеров", - объяснил Звеаре. "Уязвимый JavaScript-код берет этот ID и использует его в API-вызовах для извлечения данных и отображения их на странице. ".

Обнаруженная уязвимость позволяла получить доступ к следующим данным:

• 21 393 заказа клиентов по всем дилерам с августа 2016 года по март 2023 года - это включает имя клиента, адрес, номер телефона и заказанные товары.
• 1 570 сайтов дилеров (из них 1 091 активных). Было возможно изменить любой из этих сайтов.
• 3 588 учетных записей/пользователей дилеров (включает имя и фамилию, адрес электронной почты). Было возможно изменить пароль любого из этих пользователей.
• 1 090 адресов электронной почты дилеров (включает имя и фамилию).
• 11 034 адреса электронной почты клиентов (включает имя и фамилию).
• Возможно: приватные ключи Stripe, PayPal и Authorize.net для дилеров, которые предоставили их.
• Внутренние финансовые отчеты.

Злоумышленники также могли использовать доступ к этим сайтам дилеров для установки скиммеров кредитных карт или другого вредоносного кода JavaScript, позволяющего им получать незаконную прибыль.

Уязвимости, после ответственного раскрытия 16 марта 2023 года, была устранена Honda 3 апреля 2023 года. Раскрытие произошло через несколько месяцев после того, как Звеаре описал проблемы безопасности в системе подготовки информации поставщиков Toyota (GSPIMS) и C360 CRM, которые могли быть использованы для доступа к большому объему корпоративных и клиентских данных.