Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Hogar
Jun 02, 2023
Las fallas de API de Honda expusieron datos de clientes, paneles de distribuidores, documentos internos
La plataforma de comercio electrónico de Honda para equipos eléctricos, marinos, de césped y jardín, fue
La plataforma de comercio electrónico de Honda para equipos eléctricos, marinos, de césped y jardín era vulnerable al acceso no autorizado por parte de cualquier persona debido a fallas en la API que permiten restablecer la contraseña de cualquier cuenta.
Honda es un fabricante japonés de automóviles, motocicletas y equipos eléctricos. En este caso, solo la última división se ve afectada, por lo que los propietarios de automóviles o motocicletas Honda no se ven afectados.
La brecha de seguridad en los sistemas de Honda fue descubierta por el investigador de seguridad Eaton Zveare, el mismo que violó el portal de proveedores de Toyota hace unos meses, aprovechando vulnerabilidades similares.
Para Honda, Eaton Works explotó una API de restablecimiento de contraseña para restablecer la contraseña de cuentas valiosas y luego disfrutar de acceso a datos de nivel de administrador sin restricciones en la red de la empresa.
"Los controles de acceso rotos o faltantes permitieron acceder a todos los datos en la plataforma, incluso cuando se inició sesión como una cuenta de prueba", explica el investigador.
Como resultado, la siguiente información estuvo expuesta al investigador de seguridad y posiblemente a los actores de amenazas que aprovecharon la misma vulnerabilidad:
Los datos anteriores podrían usarse para lanzar campañas de phishing, ataques de ingeniería social o venderse en foros de piratas informáticos y mercados de la web oscura.
Además, al tener acceso a los sitios de los distribuidores, los atacantes podrían plantar skimmers de tarjetas de crédito u otros fragmentos de JavaScript maliciosos.
Zveare explica que la falla de API se encuentra en la plataforma de comercio electrónico de Honda, que asigna subdominios "powerdealer.honda.com" a revendedores/concesionarios registrados.
El investigador descubrió que la API de restablecimiento de contraseña en uno de los sitios de Honda, Power Equipment Tech Express (PETE), procesó las solicitudes de restablecimiento sin un token o la contraseña anterior, solo requiriendo un correo electrónico válido.
Si bien esta vulnerabilidad no está presente en el portal de inicio de sesión de subdominios de comercio electrónico, las credenciales cambiadas a través del sitio de PETE seguirán funcionando en ellos, por lo que cualquiera puede acceder a los datos internos del concesionario a través de este simple ataque.
La única pieza que falta es tener una dirección de correo electrónico válida que pertenezca a un distribuidor, que el investigador obtuvo de un video de YouTube que mostraba el tablero del distribuidor usando una cuenta de prueba.
El siguiente paso fue acceder a información de distribuidores reales además de la cuenta de prueba. Sin embargo, sería preferible hacerlo sin interrumpir su funcionamiento y sin tener que restablecer las contraseñas de cientos de cuentas.
La solución que encontró el investigador fue aprovechar una segunda vulnerabilidad, que es la asignación secuencial de ID de usuario en la plataforma y la falta de protecciones de acceso.
Esto hizo posible acceder a los paneles de datos de todos los concesionarios Honda arbitrariamente incrementando la ID de usuario en uno hasta que no hubo más resultados.
"Con solo incrementar esa identificación, pude obtener acceso a los datos de todos los distribuidores. El código JavaScript subyacente toma esa identificación y la usa en llamadas API para obtener datos y mostrarlos en la página. Afortunadamente, este descubrimiento hizo que la necesidad de restablecer más contraseñas fuera discutible ." dijo Zvaere.
Vale la pena señalar que la falla anterior podría haber sido aprovechada por los concesionarios registrados de Honda para acceder a los paneles de otros concesionarios y, por extensión, a sus pedidos, detalles de clientes, etc.
El paso final del ataque fue acceder al panel de administración de Honda, que es el punto de control central de la plataforma de comercio electrónico de la empresa.
El investigador accedió modificando una respuesta HTTP para que pareciera que era un administrador, lo que le dio acceso ilimitado a la plataforma de sitios de concesionarios de Honda.
Lo anterior fue informado a Honda el 16 de marzo de 2023 y para el 3 de abril de 2023, la firma japonesa confirmó que todos los problemas habían sido solucionados.
Al no tener un programa de recompensas por errores, Honda no recompensó a Zveare por su informe responsable, que es el mismo resultado que en el caso de Toyota.
Los piratas informáticos apuntan a la falla del complemento de Wordpress después de que se lanzó el exploit PoC
El error del complemento de campo personalizado de WordPress expone más de 1 millón de sitios a ataques XSS
PrestaShop corrige un error que permite que cualquier usuario de backend elimine bases de datos
Los piratas informáticos explotan un error en el complemento Elementor Pro WordPress
VMware corrige vulnerabilidades críticas en la herramienta de análisis de red vRealize
Correos electrónicos de clientes expuestos Capacidad para editar el contenido de la página Solicitud de API de restablecimiento de contraseña enviada a PETE Correo electrónico de cuenta de prueba expuesto en un video de YouTube Aumento del número de ID de usuario para acceder a todos los paneles de distribuidores El panel de administración de los sitios de distribuidores de Honda