Η πλατφόρμα ηλεκτρονικού εμπορίου της Honda εκτέθηκε σε κίνδυνο μη εξουσιοδοτημένης πρόσβασης, λόγω ελαττωμάτων στα API της που επιτρέπουν την ανάκτηση κωδικών πρόσβασης για οποιονδήποτε λογαριασμό, σε σχέση με τον ηλεκτρικό εξοπλισμό, τα θαλάσσια προϊόντα, τα προϊόντα γκαζόν και κήπου.

Δείτε επίσης: Sony και Honda ονομάζουν το νέο τους EV Car Brand Afeela

Η Honda είναι μια ιαπωνική εταιρεία που κατασκευάζει αυτοκίνητα, μοτοσικλέτες και εξοπλισμό ισχύος. Σε αυτήν την περίπτωση, η έκθεση αφορά μόνο το τελευταίο τμήμα, οπότε οι ιδιοκτήτες αυτοκινήτων ή μοτοσυκλετών της μάρκας Honda δεν επηρεάζονται.

Ο ερευνητής ασφαλείας Eaton Zveare ανακάλυψε ένα κενό ασφαλείας στα συστήματα της Honda. Ο Zveare είχε παραβιάσει την πύλη προμηθευτών της Toyota πρόσφατα, χρησιμοποιώντας παρόμοια τρωτά σημεία.

Η εταιρεία Eaton Works χρησιμοποίησε μια διαδικασία επαναφοράς κωδικού πρόσβασης μέσω API για να αποκαταστήσει την πρόσβαση σε σημαντικούς λογαριασμούς της Honda και να έχει απεριόριστη πρόσβαση σε δεδομένα στο δίκτυο της ως διαχειριστής.

«Τα κατεστραμμένα/ελλιπή στοιχεία ελέγχου πρόσβασης κατέστησαν δυνατή την πρόσβαση σε όλα τα δεδομένα στην πλατφόρμα, ακόμη και όταν ήταν συνδεδεμένοι ως δοκιμαστικός λογαριασμός», εξηγεί ο ερευνητής.

Ως αποτέλεσμα, οι ακόλουθες πληροφορίες εκτέθηκαν στον ερευνητή ασφάλειας και πιθανώς σε παράγοντες απειλών που αξιοποιούν την ίδια ευπάθεια:

  • 21.393 παραγγελίες πελατών σε όλους τους αντιπροσώπους από τον Αύγουστο του 2016 έως τον Μάρτιο του 2023 – σε αυτές περιλαμβάνονται το όνομα πελάτη, η διεύθυνση, ο αριθμός τηλεφώνου και τα προϊόντα που παραγγέλθηκαν.
  • 1.570 ιστότοποι αντιπροσώπων (1.091 από αυτούς είναι ενεργοί). Ήταν δυνατή η τροποποίηση οποιουδήποτε από αυτούς τους ιστότοπους.
  • 3.588 χρήστες/λογαριασμοί αντιπροσώπων (περιλαμβάνει όνομα και επώνυμο, διεύθυνση email). Ήταν δυνατή η αλλαγή του κωδικού πρόσβασης οποιουδήποτε από αυτούς τους χρήστες.
  • 1.090 email αντιπροσώπων (συμπεριλαμβάνονται το όνομα και το επώνυμο).
  • 11.034 email πελατών (συμπεριλαμβανομένου του ονόματος και του επωνύμου).
  • Δυνητικά: ιδιωτικά κλειδιά Stripe, PayPal και Authorize.net για αντιπροσώπους που τα παρείχαν.
  • Εσωτερικές οικονομικές εκθέσεις.

Δείτε ακόμα: Τα Sony Honda EV ενδέχεται να ενσωματώνουν PlayStation 5

Τα παραπάνω δεδομένα μπορεί να χρησιμοποιηθούν για να ξεκινήσουν εκστρατείες phishing, επιθέσεις social engineering, ή ακόμη και να πωληθούν σε φόρουμ χάκερ και αγορές στο σκοτεινό ίντερνετ. Επιπλέον, αν οι εισβολείς έχουν πρόσβαση στις τοποθεσίες των αντιπροσώπων, μπορεί να εμφανιστούν skimmers πιστωτικών καρτών ή άλλα κακόβουλα κομμάτια κώδικα JavaScript.

Ο Zveare εξήγησε ότι το πρόβλημα με το API βρισκόταν στην ηλεκτρονική πλατφόρμα εμπορίας της Honda. Αυτή η πλατφόρμα εκχωρεί υποτομείς στους εγγεγραμμένους μεταπωλητές/διανομείς, με τη μορφή “powerdealer.honda.com“.

Ο ερευνητής ανακάλυψε ότι το API επαναφοράς κωδικού πρόσβασης στον ιστότοπο της Honda, Power Equipment Tech Express (PETE), δέχεται αιτήματα για επαναφορά κωδικού πρόσβασης μόνο με ένα έγκυρο email και χωρίς την ανάγκη διακριτικού ή προηγούμενου κωδικού πρόσβασης.

Αν και αυτή η ευπάθεια δεν υπάρχει στην πύλη σύνδεσης των υποτομέων ηλεκτρονικού εμπορίου, τα διαπιστευτήρια που αλλάζουν μέσω του ιστότοπου PETE θα εξακολουθήσουν να ισχύουν σε αυτά. Έτσι, οποιοσδήποτε θα μπορεί να έχει πρόσβαση στα δεδομένα της εσωτερικής αντιπροσωπείας μέσω αυτής της απλής επίθεσης.

Οι πληροφορίες αναφέρονται στη Honda και την περίοδο από τις 16 Μαρτίου 2023 μέχρι και τις 3 Απριλίου 2023. Η ιαπωνική εταιρεία επιβεβαίωσε ότι όλα τα προβλήματα έχουν επιδιορθωθεί.

Δείτε επίσης: Ένα Honda «παρκάρει» πάνω σε μια Mercedes στο Σύδνεϋ

Επειδή δεν υπάρχει πρόγραμμα επιβράβευσης για αναφορές σφαλμάτων, η Honda δεν ανταμείβει τον Zveare για την αναφορά του, όπως έκανε η Toyota.