{"id":801072,"date":"2023-06-12T09:32:34","date_gmt":"2023-06-12T09:32:34","guid":{"rendered":"https:\/\/teknomers.com\/es\/hack-de-restablecimiento-de-contrasena-expuesto-en-la-plataforma-de-comercio-electronico-de-honda-datos-de-distribuidores-en-riesgo\/"},"modified":"2023-06-12T09:32:37","modified_gmt":"2023-06-12T09:32:37","slug":"hack-de-restablecimiento-de-contrasena-expuesto-en-la-plataforma-de-comercio-electronico-de-honda-datos-de-distribuidores-en-riesgo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hack-de-restablecimiento-de-contrasena-expuesto-en-la-plataforma-de-comercio-electronico-de-honda-datos-de-distribuidores-en-riesgo\/","title":{"rendered":"Hack de restablecimiento de contrase\u00f1a expuesto en la plataforma de comercio electr\u00f3nico de Honda, datos de distribuidores en riesgo"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 de junio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad de datos \/ pirater\u00eda<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Las vulnerabilidades de seguridad descubiertas en la plataforma de comercio electr\u00f3nico de Honda podr\u00edan haberse aprovechado para obtener acceso sin restricciones a informaci\u00f3n confidencial del distribuidor.<\/p>\n<p>&#8220;Los controles de acceso rotos o faltantes permitieron acceder a todos los datos en la plataforma, incluso cuando se inici\u00f3 sesi\u00f3n como una cuenta de prueba&#8221;, el investigador de seguridad Eaton Zveare. <a rel=\"nofollow noopener\" href=\"https:\/\/eaton-works.com\/2023\/06\/06\/honda-ecommerce-hack\" target=\"_blank\">dicho<\/a> en un informe publicado la semana pasada.<\/p>\n<p>El <a rel=\"nofollow noopener\" href=\"https:\/\/powerequipment.honda.com\/\" target=\"_blank\">plataforma<\/a> est\u00e1 dise\u00f1ado para la venta de equipos de energ\u00eda, negocios marinos, de c\u00e9sped y jard\u00edn.  No afecta a la divisi\u00f3n de autom\u00f3viles de la compa\u00f1\u00eda japonesa.<\/p>\n<p>El truco, en pocas palabras, explota un mecanismo de restablecimiento de contrase\u00f1a en uno de los sitios de Honda, Power Equipment Tech Express (PETE), para restablecer la contrase\u00f1a asociada con cualquier cuenta y obtener acceso completo a nivel de administrador.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Pandilla-china-PostalFurious-ataca-a-usuarios-de-EAU-con-esquema.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Esto es posible gracias al hecho de que la API permite que cualquier usuario env\u00ede una solicitud de restablecimiento de contrase\u00f1a simplemente conociendo el nombre de usuario o la direcci\u00f3n de correo electr\u00f3nico y sin tener que ingresar una contrase\u00f1a vinculada a esa cuenta.<\/p>\n<p>Armado con esta capacidad, un actor malintencionado podr\u00eda iniciar sesi\u00f3n y apoderarse de otra cuenta y, posteriormente, aprovechar la naturaleza secuencial de las URL del sitio del distribuidor (es decir, &#8220;admin.pedealer.honda[.]com\/dealersite\/<ID>\/dashboard) para obtener acceso no autorizado al panel de administraci\u00f3n de otro distribuidor.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjbcr6h8pMk4Fwyu-nAbKIexgoK2fBxJxBqx_8jlQ7GyrRDBJ1n3sm9tn0psW32j7cYWzJbTTuDVpglTf-UDV4hWdeUxWHTF0hMnX9gJV4Vx6mTJaHQuuvs8tkgVuJnB4nt07UOkq54mwibqa1cyQ5OAQe6xSHXNsCNh6u0ZuTcurEMOGvPvrlRmV9V\/s728-e3650\/honda.jpg\" alt=\"Comercio electr\u00f3nico de Honda\" border=\"0\" data-original-height=\"417\" data-original-width=\"728\" title=\"Comercio electr\u00f3nico de Honda\"\/><\/div>\n<p>&#8220;Simplemente incrementando esa identificaci\u00f3n, podr\u00eda obtener acceso a los datos de todos los comerciantes&#8221;, explic\u00f3 Zveare.  &#8220;El c\u00f3digo JavaScript subyacente toma esa identificaci\u00f3n y la usa en las llamadas API para obtener datos y mostrarlos en la p\u00e1gina. Afortunadamente, este descubrimiento hizo que la necesidad de restablecer m\u00e1s contrase\u00f1as fuera discutible&#8221;.<\/p>\n<p>Para empeorar las cosas, la falla de dise\u00f1o podr\u00eda haberse utilizado para acceder a los clientes de un concesionario, editar su sitio web y sus productos y, lo que es peor, elevar los privilegios al administrador de toda la plataforma, una caracter\u00edstica restringida a los empleados de Honda, por medio de un dispositivo especialmente dise\u00f1ado. solicitud para ver los detalles de la red de distribuidores.<\/p>\n<div class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>\ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n<p class=\"wn-description\">Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">\u00danase a la sesi\u00f3n<\/a><\/div>\n<p>En total, las debilidades permitieron el acceso ileg\u00edtimo a 21 393 pedidos de clientes en todos los distribuidores desde agosto de 2016 hasta marzo de 2023, 1570 sitios web de distribuidores (de los cuales 1091 est\u00e1n activos), 3588 cuentas de distribuidores, 1090 correos electr\u00f3nicos de distribuidores y 11 034 correos electr\u00f3nicos de clientes.<\/p>\n<p>Los actores de amenazas tambi\u00e9n podr\u00edan aprovechar el acceso a estos sitios web de comerciantes plantando c\u00f3digo de miner\u00eda de criptomonedas o skimmer, lo que les permitir\u00eda obtener ganancias il\u00edcitas. <\/p>\n<p>Las vulnerabilidades, luego de la divulgaci\u00f3n responsable el 16 de marzo de 2023, han sido abordadas por Honda a partir del 3 de abril de 2023.<\/p>\n<p>La divulgaci\u00f3n se produce meses despu\u00e9s de que Zveare detallara los problemas de seguridad en el Sistema de gesti\u00f3n de informaci\u00f3n de preparaci\u00f3n de proveedores globales de Toyota (<a rel=\"nofollow noopener\" href=\"https:\/\/eaton-works.com\/2023\/02\/06\/toyota-gspims-hack\/\" target=\"_blank\">GSPIMS<\/a>) y <a rel=\"nofollow noopener\" href=\"https:\/\/eaton-works.com\/2023\/03\/06\/toyota-c360-hack\/\" target=\"_blank\">CRM C360<\/a> que podr\u00eda haberse aprovechado para acceder a una gran cantidad de datos corporativos y de clientes.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/password-reset-hack-exposed-in-hondas-e.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 de junio de 2023\ue804Ravie Lakshman\u00e1nSeguridad de datos \/ pirater\u00eda Las vulnerabilidades de seguridad descubiertas en la plataforma<\/p>\n","protected":false},"author":1,"featured_media":801073,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4430,4664,13924,1755,11396,5933,58836,4662,32187,16783,4668,4667,4654,4658,4659,4653,4655,2256,4663,310,4578,4666,4665,4660],"class_list":["post-801072","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-comercio","tag-como-hackear","tag-contrasena","tag-datos","tag-distribuidores","tag-electronico","tag-expuesto","tag-filtracion-de-datos","tag-hack","tag-honda","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-plataforma","tag-programa-malicioso-ransomware","tag-restablecimiento","tag-riesgo","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/801072","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=801072"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/801072\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/801073"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=801072"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=801072"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=801072"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}