在本田的电子商务平台上发现的安全漏洞可能被利用,以获得不受限制的敏感经销商信息。
安全研究员伊顿·兹瓦尔(Eaton Zveare)在上周发布的一份报告中表示:“访问控制中断/缺失使得访问平台上的所有数据成为可能,即使是作为一个测试账户登录。”
该平台是专为销售电力设备,海洋,草坪和花园业务而设计的。这不会影响这家日本公司的汽车部门。
简而言之,黑客利用本田的一个网站Power Equipment Tech Express(Pete)上的密码重置机制来重置与任何帐户相关的密码,并获得完全的管理级别访问权限。
这是因为API允许任何用户只需知道用户名或电子邮件地址即可发送密码重置请求,而无需输入与该帐户绑定的密码。
有了这种能力,恶意参与者就可以登录并接管另一个帐户,然后利用经销商站点URL的连续性(即,“admin.pedealer.honda[.]com/dealersite/<ID>/dashboard)以获得对不同经销商的管理仪表板的未经授权的访问。
Zveare解释说:”只要增加这个ID,我就可以访问每个经销商的数据。”“底层JavaScript代码接受这个ID,并在API调用中使用它来获取数据并将其显示在页面上。谢天谢地,这一发现使得重设密码的必要性变得毫无意义。”
更糟糕的是,这个设计缺陷可能被用来访问经销商的客户,编辑他们的网站和产品,更糟糕的是,通过一个特制的请求来查看经销商网络的详细信息,提升整个平台的管理员的权限——这是一个仅限于本田员工的功能。
从2016年8月到2023年3月,所有经销商都可以非法获取21,393份客户订单(其中1,091个网站活跃)、3,588个经销商账户、1,090封经销商电子邮件和11,034封客户电子邮件。
威胁行为者也可以利用访问这些交易商网站的机会,通过设置清查或加密货币挖掘代码,从而使他们能够获取非法利润。
本田公司在2023年3月16日负责任地披露了这些漏洞后,于2023年4月3日开始着手解决这些漏洞。
几个月前,Zveare在丰田的全球供应商准备信息管理系统(GSPIMS)和C 360 C360客户关系管理系统(C360)中详细的安全问题可以被利用来访问大量的公司和客户数据。