Τα ελαττώματα του Honda API εκτέθηκαν δεδομένα πελατών, πάνελ αντιπροσώπων, εσωτερικά έγγραφα

Η πλατφόρμα ηλεκτρονικού εμπορίου της Honda για ηλεκτρικό εξοπλισμό, θαλάσσια, γκαζόν και κήπο, ήταν ευάλωτη σε μη εξουσιοδοτημένη πρόσβαση από οποιονδήποτε λόγω ελαττωμάτων API που επιτρέπουν την επαναφορά κωδικού πρόσβασης για οποιονδήποτε λογαριασμό.

Η Honda είναι ένας ιαπωνικός κατασκευαστής αυτοκινήτων, μοτοσικλετών και εξοπλισμού ισχύος. Σε αυτήν την περίπτωση, επηρεάζεται μόνο το τελευταίο τμήμα, επομένως οι ιδιοκτήτες αυτοκινήτων ή μοτοσυκλετών Honda δεν επηρεάζονται.

Το κενό ασφαλείας στα συστήματα της Honda ανακαλύφθηκε από έναν ερευνητή ασφαλείας που χρησιμοποιεί το ψευδώνυμο «Eaton Works», το οποίο είναι το ίδιο που παραβίασε την πύλη προμηθευτών της Toyota πριν από λίγους μήνες, αξιοποιώντας παρόμοια τρωτά σημεία.

Για τη Honda, η Eaton Works εκμεταλλεύτηκε ένα API επαναφοράς κωδικού πρόσβασης για να επαναφέρει τον κωδικό πρόσβασης πολύτιμων λογαριασμών και στη συνέχεια να απολαύσει απεριόριστη πρόσβαση σε δεδομένα σε επίπεδο διαχειριστή στο δίκτυο της εταιρείας.

«Τα κατεστραμμένα/ελλιπή στοιχεία ελέγχου πρόσβασης κατέστησαν δυνατή την πρόσβαση σε όλα τα δεδομένα στην πλατφόρμα, ακόμη και όταν ήταν συνδεδεμένοι ως δοκιμαστικός λογαριασμός», εξηγεί ο ερευνητής.

Ως αποτέλεσμα, οι ακόλουθες πληροφορίες εκτέθηκαν στον ερευνητή ασφάλειας και πιθανώς σε παράγοντες απειλών που αξιοποιούν την ίδια ευπάθεια:

• 21.393 παραγγελίες πελατών σε όλους τους αντιπροσώπους από τον Αύγουστο του 2016 έως τον Μάρτιο του 2023 – σε αυτές περιλαμβάνονται το όνομα πελάτη, η διεύθυνση, ο αριθμός τηλεφώνου και τα προϊόντα που παραγγέλθηκαν.
• 1.570 ιστότοποι αντιπροσώπων (1.091 από αυτούς είναι ενεργοί). Ήταν δυνατή η τροποποίηση οποιουδήποτε από αυτούς τους ιστότοπους.
• 3.588 χρήστες/λογαριασμοί αντιπροσώπων (περιλαμβάνει όνομα και επώνυμο, διεύθυνση email). Ήταν δυνατή η αλλαγή του κωδικού πρόσβασης οποιουδήποτε από αυτούς τους χρήστες.
• 1.090 email αντιπροσώπων (συμπεριλαμβάνονται το όνομα και το επώνυμο).
• 11.034 email πελατών (συμπεριλαμβανομένου του ονόματος και του επωνύμου).
• Δυνητικά: ιδιωτικά κλειδιά Stripe, PayPal και Authorize.net για αντιπροσώπους που τα παρείχαν.
• Εσωτερικές οικονομικές εκθέσεις.

Τα παραπάνω δεδομένα θα μπορούσαν να χρησιμοποιηθούν για την έναρξη εκστρατειών

phishing

, επιθέσεις κοινωνικής μηχανικής ή για πώληση σε φόρουμ χάκερ και αγορές σκοτεινού ιστού.

Επίσης, έχοντας πρόσβαση στις τοποθεσίες αντιπροσώπων, οι εισβολείς θα μπορούσαν να φυτέψουν skimmers πιστωτικών καρτών ή άλλα κακόβουλα αποσπάσματα JavaScript.

Πρόσβαση σε πίνακες διαχείρισης

Η EatonWorks εξηγεί ότι το ελάττωμα του API βρισκόταν στην πλατφόρμα ηλεκτρονικού εμπορίου της Honda, η οποία εκχωρεί υποτομείς “powerdealer.honda.com” σε εγγεγραμμένους μεταπωλητές/διανομείς.

Ο ερευνητής διαπίστωσε ότι το API επαναφοράς κωδικού πρόσβασης σε έναν από τους ιστότοπους της Honda, το Power Equipment Tech Express (PETE), επεξεργαζόταν αιτήματα επαναφοράς χωρίς διακριτικό ή τον προηγούμενο κωδικό πρόσβασης, απαιτώντας μόνο ένα έγκυρο email.

Αν και αυτή η ευπάθεια δεν υπάρχει στην πύλη σύνδεσης των υποτομέων ηλεκτρονικού εμπορίου, τα διαπιστευτήρια που αλλάζουν μέσω του ιστότοπου PETE θα εξακολουθούν να λειτουργούν σε αυτά, έτσι ώστε οποιοσδήποτε να έχει πρόσβαση στα δεδομένα της εσωτερικής αντιπροσωπείας μέσω αυτής της απλής επίθεσης.

Το μόνο στοιχείο που λείπει είναι η ύπαρξη μιας έγκυρης διεύθυνσης ηλεκτρονικού ταχυδρομείου που ανήκει σε έναν αντιπρόσωπο, την οποία ο ερευνητής προμηθεύτηκε από ένα βίντεο του

YouTube

που παρουσίαζε τον πίνακα ελέγχου του αντιπροσώπου χρησιμοποιώντας έναν δοκιμαστικό λογαριασμό.

Το επόμενο βήμα ήταν η πρόσβαση σε πληροφορίες από πραγματικούς αντιπροσώπους εκτός από τον δοκιμαστικό λογαριασμό. Ωστόσο, θα ήταν προτιμότερο να γίνει αυτό χωρίς να διακοπεί η λειτουργία τους και χωρίς να χρειάζεται να επαναφέρετε τους κωδικούς πρόσβασης εκατοντάδων λογαριασμών.

Η λύση που βρήκε ο ερευνητής ήταν να αξιοποιήσει μια δεύτερη ευπάθεια, η οποία είναι η διαδοχική εκχώρηση των αναγνωριστικών χρηστών στην πλατφόρμα και η έλλειψη προστασίας πρόσβασης.

Αυτό κατέστησε δυνατή την αυθαίρετη πρόσβαση στους πίνακες δεδομένων όλων των αντιπροσώπων της Honda αυξάνοντας το αναγνωριστικό χρήστη κατά ένα μέχρι να μην υπάρξουν άλλα αποτελέσματα.

“Απλώς αυξάνοντας αυτό το αναγνωριστικό θα μπορούσα να αποκτήσω πρόσβαση στα δεδομένα κάθε αντιπροσώπου. Ο υποκείμενος κώδικας JavaScript παίρνει αυτό το αναγνωριστικό και το χρησιμοποιεί σε κλήσεις API για να ανακτήσει δεδομένα και να τα εμφανίσει στη σελίδα. Ευτυχώς, αυτή η ανακάλυψη κατέστησε αμφισβητήσιμη την ανάγκη επαναφοράς άλλων κωδικών πρόσβασης .” είπε

Eaton Works

.

Αξίζει να σημειωθεί ότι το παραπάνω ελάττωμα θα μπορούσε να είχε εκμεταλλευτεί οι εγγεγραμμένοι αντιπρόσωποι της Honda για πρόσβαση στα πάνελ άλλων αντιπροσώπων και κατ’ επέκταση στις παραγγελίες τους, τα στοιχεία πελατών κ.λπ.

Το τελευταίο βήμα της επίθεσης ήταν η πρόσβαση στον πίνακα διαχείρισης της Honda, που είναι το κεντρικό σημείο ελέγχου για την πλατφόρμα ηλεκτρονικού εμπορίου της εταιρείας.

Ο ερευνητής είχε πρόσβαση σε αυτό τροποποιώντας μια απάντηση HTTP για να φαίνεται ότι ήταν διαχειριστής, δίνοντάς του απεριόριστη πρόσβαση στην πλατφόρμα Honda Dealer Sites.

Τα παραπάνω αναφέρθηκαν στη Honda στις 16 Μαρτίου 2023 και έως τις 3 Απριλίου 2023, η ιαπωνική εταιρεία επιβεβαίωσε ότι όλα τα προβλήματα είχαν επιδιορθωθεί.

Καθώς δεν υπάρχει πρόγραμμα επιβράβευσης σφαλμάτων, η Honda δεν επιβράβευσε τον Eaton Works για την υπεύθυνη αναφορά του, η οποία είναι η ίδια έκβαση όπως στην περίπτωση της Toyota.