Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Maison
Jun 02, 2023
Les failles de l'API Honda ont exposé les données des clients, les panels de concessionnaires et les documents internes
La plate-forme de commerce électronique de Honda pour l'équipement électrique, la marine, la pelouse et le jardin, a été
La plate-forme de commerce électronique de Honda pour les équipements électriques, la marine, la pelouse et le jardin était vulnérable à un accès non autorisé par quiconque en raison de failles d'API qui permettent la réinitialisation du mot de passe pour n'importe quel compte.
Honda est un fabricant japonais d'automobiles, de motos et d'équipements électriques. Dans ce cas, seule cette dernière division est touchée, donc les propriétaires de voitures ou de motos Honda ne sont pas touchés.
La faille de sécurité dans les systèmes de Honda a été découverte par le chercheur en sécurité Eaton Zveare, le même qui a piraté le portail des fournisseurs de Toyota il y a quelques mois, exploitant des vulnérabilités similaires.
Pour Honda, Eaton Works a exploité une API de réinitialisation de mot de passe pour réinitialiser le mot de passe de comptes précieux, puis bénéficier d'un accès illimité aux données de niveau administrateur sur le réseau de l'entreprise.
"Les contrôles d'accès cassés/manquants permettaient d'accéder à toutes les données de la plateforme, même en étant connecté en tant que compte de test", explique le chercheur.
En conséquence, les informations suivantes ont été exposées au chercheur en sécurité et éventuellement aux acteurs de la menace exploitant la même vulnérabilité :
Les données ci-dessus pourraient être utilisées pour lancer des campagnes de phishing, des attaques d'ingénierie sociale ou vendues sur des forums de hackers et des marchés du dark web.
De plus, en ayant accès aux sites des revendeurs, les attaquants pourraient planter des skimmers de cartes de crédit ou d'autres extraits de code JavaScript malveillants.
Zveare explique que la faille de l'API résidait dans la plate-forme de commerce électronique de Honda, qui attribue des sous-domaines "powerdealer.honda.com" aux revendeurs/concessionnaires enregistrés.
Le chercheur a découvert que l'API de réinitialisation de mot de passe sur l'un des sites de Honda, Power Equipment Tech Express (PETE), traitait les demandes de réinitialisation sans jeton ni mot de passe précédent, ne nécessitant qu'un e-mail valide.
Bien que cette vulnérabilité ne soit pas présente sur le portail de connexion des sous-domaines de commerce électronique, les informations d'identification transférées via le site PETE fonctionneront toujours sur eux, de sorte que n'importe qui peut accéder aux données internes du concessionnaire via cette simple attaque.
La seule pièce manquante est d'avoir une adresse e-mail valide appartenant à un revendeur, que le chercheur s'est procuré à partir d'une vidéo YouTube qui a présenté le tableau de bord du revendeur à l'aide d'un compte de test.
L'étape suivante consistait à accéder aux informations de vrais revendeurs en plus du compte de test. Cependant, il serait préférable de le faire sans perturber leur fonctionnement et sans avoir à réinitialiser les mots de passe de centaines de comptes.
La solution trouvée par le chercheur consistait à tirer parti d'une deuxième vulnérabilité, à savoir l'attribution séquentielle d'identifiants d'utilisateur dans la plate-forme et le manque de protections d'accès.
Cela a permis d'accéder arbitrairement aux panneaux de données de tous les concessionnaires Honda en incrémentant l'ID utilisateur de un jusqu'à ce qu'il n'y ait plus d'autres résultats.
"Juste en incrémentant cet identifiant, je pouvais accéder aux données de chaque concessionnaire. Le code JavaScript sous-jacent prend cet identifiant et l'utilise dans les appels d'API pour récupérer les données et les afficher sur la page. Heureusement, cette découverte a rendu inutile la réinitialisation des mots de passe. ." dit Zvaere.
Il est à noter que la faille ci-dessus aurait pu être exploitée par les concessionnaires enregistrés de Honda pour accéder aux panels d'autres concessionnaires, et par extension, à leurs commandes, coordonnées clients, etc.
La dernière étape de l'attaque consistait à accéder au panneau d'administration de Honda, qui est le point de contrôle central de la plate-forme de commerce électronique de l'entreprise.
Le chercheur y a accédé en modifiant une réponse HTTP pour la faire apparaître comme s'il était un administrateur, lui donnant un accès illimité à la plateforme Honda Dealer Sites.
Ce qui précède a été signalé à Honda le 16 mars 2023 et le 3 avril 2023, la firme japonaise a confirmé que tous les problèmes avaient été résolus.
N'ayant pas de programme de primes aux bogues en place, Honda n'a pas récompensé Zveare pour ses rapports responsables, ce qui est le même résultat que dans l'affaire Toyota.
Les pirates ciblent la faille du plugin Wordpress après la publication de l'exploit PoC
Le bogue du plugin de champ personnalisé WordPress expose plus d'un million de sites aux attaques XSS
PrestaShop corrige un bug qui permet à n'importe quel utilisateur backend de supprimer des bases de données
Les pirates exploitent un bogue dans le plugin Elementor Pro WordPress
VMware corrige des vulnérabilités critiques dans l'outil d'analyse de réseau vRealize
Courriels des clients exposés Possibilité de modifier le contenu de la page Demande d'API de réinitialisation du mot de passe envoyée à PETE Courriel du compte de test exposé sur la vidéo YouTube Augmentation du numéro d'identification de l'utilisateur pour accéder à tous les panneaux des concessionnaires Le panneau d'administration des sites des concessionnaires Honda