Bir Honda çim biçme makinesi satın aldıysanız, kişisel bilgileriniz kötü niyetli üçüncü şahıslara sızdırılmış olabilir.
Bu, Honda’nın e-ticaret platformunda ölümcül bir kusur bulan ve ardından çok sayıda hassas müşteri verisine erişim elde etmek için onu kötüye kullanan bir siber güvenlik araştırmacısına göre.
BleepingComputer tarafından bildirildiği üzere Honda’nın otomotiv ve diğer bölümleri etkilenmedi; yalnızca çim ve bahçe donanımı platformunun kusurlu olduğu bulundu.
Veri ve para çalmak
Araştırmacı – yakın zamanda Toyota’ya ait güvenli olmayan veritabanlarını bulan kişi – bir parola sıfırlama API’sinin kendisine değerli hesapların parolalarını sıfırlamasına ve bunları bir Honda bayi alt etki alanındaki yönetici düzeyinde bilgilere erişmek için kullanmasına izin verdiğini söyledi.
İhtiyacı olan tek şey geçerli bir e-posta adresiydi ve bir YouTube açıklayıcı videosunda test hesabı için bir tane buldu.
Ancak test hesabı gerekli tüm verilere sahip değildir – yine de gerçek bir hesaba erişmesi gerekir. Bu çok kolay oldu ve kimseyi uyarmadan başarmayı başardı. Platformdaki kullanıcı kimlikleri sıralı olarak atandığından, tek yapması gereken başka bir sonuç kalmayana kadar kullanıcı kimliğini bir artırmak ve işte oldu.
“Sadece bu kimliği artırarak her satıcının verilerine erişebildim. Temel JavaScript kodu bu kimliği alır ve API çağrılarında verileri getirmek ve sayfada görüntülemek için kullanır. Neyse ki, bu keşif artık parolaları sıfırlama ihtiyacını tartışmalı hale getirdi .” araştırmacı Eaton Zveare dedi.
Son olarak, bir yöneticiymiş gibi görünmesi için bir HTTP yanıtını değiştirdikten sonra, Honda’nın yönetici paneline erişim elde etti ve bu panel, içinde bulunan hassas verilere sınırsız erişim sağladı.
Zveare’nin erişebildiği veriler şunları içerir:
- Ağustos 2016 – Mart 2023 tarihleri arasında tüm bayilerden 21.393 müşteri siparişi (müşteri adları, adresleri, telefon numaraları ve sipariş edilen ürünler)
- 1.570 bayi web sitesi (kabaca üçte ikisi hala aktif)
- 3.588 bayi kullanıcısı/hesabı (tam adları ve e-posta adreslerini içerir) ve her biri için parolaları sıfırlama olanağı
- 1.090 bayi e-postası (tam adları içerir)
- 11.034 müşteri e-postası (tam adları içerir)
Araştırmacı, Honda’nın kusuru Nisan ayı başlarında düzelttiği sonucuna vardı.
Aracılığıyla: BleepingBilgisayar
