Honda исправляет ошибку, обнаруженную исследователем в платформе для дилеров оборудования в США

Jun 06, 2023

Компания Honda заявила, что устранила уязвимость, которая могла позволить любому получить контроль над учетными записями на платформе, используемой дилерами Honda Power Equipment и Honda Marine в США.

На этой неделе эксперт по кибербезопасности Итон Звеар объяснил, как ему удалось скомпрометировать платформу, воспользовавшись уязвимостью, которая «легко» позволяла сбросить пароль любой учетной записи.

Этот инструмент предназначен для дилеров в США, которые продают продукцию Honda, такую ​​как электрогенераторы, газонокосилки и подвесные моторы. Эта проблема, похоже, никоим образом не повлияла на автомобильный бизнес Honda, но Звеаре сказал, что те, кто покупал другие продукты Honda через Интернет, могли подвергаться риску.

Хонда подтвердила уязвимость в Zveare в апреле и сообщила Recorded Future News, что, как только ей стало известно о проблеме, она «быстро изолировала доступ к сайтам, впоследствии обновила меры безопасности сайтов» и в конечном итоге вернула их в эксплуатацию.

«В настоящее время Honda не известно о каком-либо использовании этой уязвимости для доступа к конфиденциальной информации потребителей или дилеров, хранящейся на сайтах, или о какой-либо вредоносной деятельности», — сказал представитель.

«Хотя мы искренне сожалеем о любых опасениях, которые эта ситуация может вызвать у наших клиентов или дилеров, мы ценим получение уведомления от исследователя, которое позволило нам быстро принять меры для решения проблемы».

Звеаре сказал, что уязвимость позволила ему получить доступ ко всем данным на платформе, даже когда он вошел в систему с тестовой учетной записи. Благодаря своему доступу он смог просмотреть 21 393 заказа клиентов у всех дилеров с августа 2016 года по март 2023 года, включая имена клиентов, адреса, номера телефонов и заказанные товары.

Он также смог получить доступ к информации с 1570 веб-сайтов дилеров и изменить любой из них. Уязвимость дала ему возможность видеть все 3588 учетных записей дилеров и менять пароли для любого пользователя. Он просмотрел более 1000 электронных писем дилеров и более 11 000 электронных писем клиентов.

Звеаре отметил, что он, возможно, имел доступ к закрытым ключам Stripe, PayPal и Authorize.net дилеров, которые разместили их на платформе.

Его вдохновило протестировать платформу после того, как в феврале он наделал много шума, получив в октябре 2022 года полный контроль над веб-приложением Toyota под названием Глобальная система управления информацией о подготовке поставщиков (GSPIMS). Эта платформа используется для координации проектов, деталей, опросов и т. д. покупки и многое другое.

«После нескольких успешных взломов систем Toyota в конце прошлого года я хотел попробовать свои силы в работе с новым автопроизводителем. Почему Honda? Мой хороший друг в семье любит автомобили Honda, поэтому я подумал, что если я найду интересную уязвимость, это будет создать веселую тему для разговора», — сказал он.

У Honda есть платформа электронной коммерции Honda Dealer Sites с 2016 года, которая позволяет дилерам легко создавать веб-сайт или витрину для продажи продукции Honda.

Звеаре нашел путь на сайт через другую подключенную платформу под названием Power Equipment Tech Express (PETE). Он обнаружил, что злоупотребление механизмом сброса пароля на PETE также будет работать для учетных записей на основной платформе.

Он боялся заблокировать доступ реального пользователя к своей учетной записи, поэтому использовал образец учетной записи, использованный на вебинаре YouTube для дилеров Honda. После этого ему был нужен только адрес электронной почты, чтобы войти.

«Уязвимость к сбросу пароля была значительной, и теперь я знал, что если я найду адрес электронной почты реального дилера, я смогу легко получить доступ к его учетной записи. Однако это потенциально могло бы нанести ущерб их бизнесу, поэтому я избегал этого и вместо этого пытался найти еще один менее разрушительный эксплойт», — объяснил он.

Затем он получил доступ к большим объемам данных, выяснив, что всем учетным записям присвоены последовательные номера. Чтобы просмотреть учетную запись другого дилера, нужно было просто изменить URL-адрес на одну цифру.

Звеаре сказал, что на самом базовом уровне хакер мог легко утечь все данные клиентов и информацию о дилерах. Но более опытные и финансово мотивированные хакеры могли бы использовать свой доступ для запуска целевых фишинговых кампаний против клиентов с целью украсть более ценную информацию или установить вредоносное ПО.