Доступ к данным клиентов Honda мог получить кто угодно

Доступ к данным клиентов Honda мог получить кто угодно

8 июня 2023 г.

Если вы когда-либо покупали газонокосилку Honda, ваша личная информация могла попасть в руки злоумышленников.

По словам исследователя кибербезопасности, который обнаружил фатальную уязвимость в платформе электронной коммерции Honda и впоследствии злоупотребил ею, чтобы получить доступ к большому количеству конфиденциальных данных клиентов.

Как сообщает BleepingComputer, автомобильное и другие подразделения Honda не пострадали; только платформа для оборудования для газонов и сада оказалась неисправной.

Кража данных и денег

Исследователь — тот самый, который недавно обнаружил незащищенные базы данных, принадлежащие Toyota, — сказал, что API сброса пароля позволяет ему сбрасывать пароли ценных учетных записей и использовать их для доступа к информации уровня администратора в поддомене реселлера Honda.

Единственное, что ему было нужно, — это действующий адрес электронной почты, и он нашел его для тестовой учетной записи в пояснительном видео на YouTube.

Но в тестовом аккаунте нет всех необходимых данных — ему все равно нужен доступ к реальному аккаунту. Это оказалось очень просто, и ему удалось провернуть это, никого не предупредив. Поскольку идентификаторы пользователей на платформе назначаются последовательно, все, что ему нужно было сделать, — это увеличить идентификатор пользователя на единицу, пока не было никаких других результатов, и вуаля.

"Просто увеличив этот идентификатор, я мог бы получить доступ к данным каждого дилера. Базовый код JavaScript берет этот идентификатор и использует его в вызовах API для получения данных и отображения их на странице. К счастью, это открытие сделало необходимость сброса паролей спорной». — сказал исследователь Итон Звеар.

Наконец, изменив ответ HTTP, чтобы он выглядел как администратор, он получил доступ к панели администратора Honda, которая, в свою очередь, предоставила ему неограниченный доступ к конфиденциальные данные, содержащиеся внутри.

Данные, к которым Zveare смог получить доступ, включают: 

  • 21 393 заказа от всех дилеров за период с августа 2016 года по март 2023 года (имена клиентов, адреса, номера телефонов и заказанные товары)
  • 1 570 веб-сайтов дилеров (примерно две трети все еще активны) )
  • 3588 пользователей/аккаунтов дилеров (включая полные имена и адреса электронной почты) и возможность сбросить пароли для каждого 
  • 1090 адресов электронной почты дилеров (включая полные имена)
  • 11 034 электронных письма клиентов (включая полные имена)

Honda исправила ошибку в начале апреля, заключил исследователь.

Через: BleepingComputer


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE