Les vulnérabilités de sécurité découvertes dans la plate-forme de commerce électronique de Honda auraient pu être exploitées pour obtenir un accès illimité aux informations sensibles des concessionnaires.
« Les contrôles d’accès cassés/manquants ont permis d’accéder à toutes les données sur la plate-forme, même en étant connecté en tant que compte de test », a déclaré le chercheur en sécurité Eaton Zveare. a dit dans un rapport publié la semaine dernière.
Le plateforme est conçu pour la vente d’équipements électriques, d’entreprises marines, de pelouse et de jardin. Cela n’affecte pas la division automobile de la société japonaise.
Le hack, en un mot, exploite un mécanisme de réinitialisation de mot de passe sur l’un des sites de Honda, Power Equipment Tech Express (PETE), pour réinitialiser le mot de passe associé à n’importe quel compte et obtenir un accès complet au niveau administrateur.
Ceci est rendu possible grâce au fait que l’API permet à tout utilisateur d’envoyer une demande de réinitialisation de mot de passe simplement en connaissant simplement le nom d’utilisateur ou l’adresse e-mail et sans avoir à saisir un mot de passe lié à ce compte.
Armé de cette capacité, un acteur malveillant pourrait se connecter et prendre le contrôle d’un autre compte, puis profiter de la nature séquentielle des URL du site du concessionnaire (par exemple, « admin.pedealer.honda[.]com/dealersite/
« Juste en incrémentant cet identifiant, je pouvais accéder aux données de tous les concessionnaires », a expliqué Zveare. « Le code JavaScript sous-jacent prend cet identifiant et l’utilise dans les appels d’API pour récupérer des données et les afficher sur la page. Heureusement, cette découverte a rendu inutile la réinitialisation de tout autre mot de passe. »
Pour aggraver les choses, le défaut de conception aurait pu être utilisé pour accéder aux clients d’un concessionnaire, modifier son site Web et ses produits, et pire encore, élever les privilèges à l’administrateur de l’ensemble de la plate-forme – une fonctionnalité réservée aux employés de Honda – au moyen d’un outil spécialement conçu. demander à voir les détails du réseau de concessionnaires.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Au total, les faiblesses ont permis un accès illégitime à 21 393 commandes de clients chez tous les concessionnaires d’août 2016 à mars 2023, 1 570 sites Web de concessionnaires (dont 1 091 sont actifs), 3 588 comptes de concessionnaires, 1 090 e-mails de concessionnaires et 11 034 e-mails de clients.
Les acteurs de la menace pourraient également tirer parti de l’accès à ces sites Web de revendeurs en plantant un écumeur ou un code d’extraction de crypto-monnaie, leur permettant ainsi de récolter des profits illicites.
Les vulnérabilités, suite à la divulgation responsable du 16 mars 2023, ont été corrigées par Honda le 3 avril 2023.
La divulgation intervient des mois après que Zveare a détaillé les problèmes de sécurité dans le système mondial de gestion des informations de préparation des fournisseurs de Toyota (GSPIMS) et CRM C360 qui auraient pu être exploitées pour accéder à une multitude de données d’entreprise et de clients.