top of page

Contraseña de restablecimiento expuesta en la plataforma de comercio electrónico de Honda


Se descubrieron vulnerabilidades de seguridad en la plataforma de comercio electrónico de Honda que podrían haber sido explotadas para obtener acceso sin restricciones a información confidencial de los concesionarios.


"Los controles de acceso rotos o ausentes permitieron acceder a todos los datos de la plataforma, incluso cuando se iniciaba sesión como una cuenta de prueba", dijo el investigador de seguridad Eaton Zveare en un informe publicado la semana pasada. La plataforma está diseñada para la venta de equipos de energía, marinos, de jardinería y césped. No afecta a la división de automóviles de la empresa japonesa.


En resumen, el hackeo explota un mecanismo de restablecimiento de contraseña en uno de los sitios de Honda, Power Equipment Tech Express (PETE), para restablecer la contraseña asociada con cualquier cuenta y obtener acceso completo a nivel de administrador.


Esto es posible debido a que la API permite que cualquier usuario envíe una solicitud de restablecimiento de contraseña simplemente conociendo el nombre de usuario o la dirección de correo electrónico, sin tener que ingresar una contraseña vinculada a esa cuenta.



Armado con esta capacidad, un actor malicioso podría iniciar sesión y tomar el control de otra cuenta, y posteriormente aprovechar la naturaleza secuencial de las URL del sitio de los concesionarios (es decir, "admin.pedealer.honda(.)com/dealersite/<ID>/dashboard") para obtener acceso no autorizado al panel de administración de un concesionario diferente.


"Simplemente incrementando ese ID, podría acceder a los datos de todos los concesionarios", explicó Zveare. "El código JavaScript subyacente toma ese ID y lo utiliza en llamadas a la API para obtener datos y mostrarlos en la página. afortunadamente, este descubrimiento hizo innecesario restablecer más contraseñas".


Para empeorar las cosas, el error de diseño podría haberse utilizado para acceder a los clientes de un concesionario, editar su sitio web y productos, y lo que es peor, elevar los privilegios al administrador de toda la plataforma, una función restringida a los empleados de Honda, mediante una solicitud especialmente diseñada para ver los detalles de la red de concesionarios.


En total, las debilidades permitieron un acceso ilegítimo a 21,393 pedidos de clientes en todos los concesionarios desde agosto de 2016 hasta marzo de 2023, 1,570 sitios web de concesionarios (de los cuales 1,091 están activos), 3,588 cuentas de concesionarios, 1,090 correos electrónicos de concesionarios y 11,034 correos electrónicos de clientes. Los actores de amenazas también podrían aprovechar el acceso a estos sitios web de concesionarios para insertar código de skimming o minería de criptomonedas, lo que les permitiría obtener ganancias ilícitas.


Las vulnerabilidades, tras una divulgación responsable el 16 de marzo de 2023, han sido abordadas por Honda a partir del 3 de abril de 2023. Esta divulgación se produce meses después de que Zveare detallara problemas de seguridad en el Sistema de Gestión de Información de Preparación de Proveedores Globales (GSPIMS) de Toyota y en C360 CRM que podrían haber sido aprovechados.


¿Quieres saber más?


42 visualizaciones0 comentarios

Commentaires


bottom of page