Se descubrieron vulnerabilidades de seguridad en la plataforma de comercio electrónico de Honda que podrÃan haber sido explotadas para obtener acceso sin restricciones a información confidencial de los concesionarios.
"Los controles de acceso rotos o ausentes permitieron acceder a todos los datos de la plataforma, incluso cuando se iniciaba sesión como una cuenta de prueba", dijo el investigador de seguridad Eaton Zveare en un informe publicado la semana pasada. La plataforma está diseñada para la venta de equipos de energÃa, marinos, de jardinerÃa y césped. No afecta a la división de automóviles de la empresa japonesa.
En resumen, el hackeo explota un mecanismo de restablecimiento de contraseña en uno de los sitios de Honda, Power Equipment Tech Express (PETE), para restablecer la contraseña asociada con cualquier cuenta y obtener acceso completo a nivel de administrador.
Esto es posible debido a que la API permite que cualquier usuario envÃe una solicitud de restablecimiento de contraseña simplemente conociendo el nombre de usuario o la dirección de correo electrónico, sin tener que ingresar una contraseña vinculada a esa cuenta.
Armado con esta capacidad, un actor malicioso podrÃa iniciar sesión y tomar el control de otra cuenta, y posteriormente aprovechar la naturaleza secuencial de las URL del sitio de los concesionarios (es decir, "admin.pedealer.honda(.)com/dealersite/<ID>/dashboard") para obtener acceso no autorizado al panel de administración de un concesionario diferente.
"Simplemente incrementando ese ID, podrÃa acceder a los datos de todos los concesionarios", explicó Zveare. "El código JavaScript subyacente toma ese ID y lo utiliza en llamadas a la API para obtener datos y mostrarlos en la página. afortunadamente, este descubrimiento hizo innecesario restablecer más contraseñas".
Para empeorar las cosas, el error de diseño podrÃa haberse utilizado para acceder a los clientes de un concesionario, editar su sitio web y productos, y lo que es peor, elevar los privilegios al administrador de toda la plataforma, una función restringida a los empleados de Honda, mediante una solicitud especialmente diseñada para ver los detalles de la red de concesionarios.
En total, las debilidades permitieron un acceso ilegÃtimo a 21,393 pedidos de clientes en todos los concesionarios desde agosto de 2016 hasta marzo de 2023, 1,570 sitios web de concesionarios (de los cuales 1,091 están activos), 3,588 cuentas de concesionarios, 1,090 correos electrónicos de concesionarios y 11,034 correos electrónicos de clientes. Los actores de amenazas también podrÃan aprovechar el acceso a estos sitios web de concesionarios para insertar código de skimming o minerÃa de criptomonedas, lo que les permitirÃa obtener ganancias ilÃcitas.
Las vulnerabilidades, tras una divulgación responsable el 16 de marzo de 2023, han sido abordadas por Honda a partir del 3 de abril de 2023. Esta divulgación se produce meses después de que Zveare detallara problemas de seguridad en el Sistema de Gestión de Información de Preparación de Proveedores Globales (GSPIMS) de Toyota y en C360 CRM que podrÃan haber sido aprovechados.
¿Quieres saber más?