Eaton Zveare, pesquisador de segurança, divulgou os detalhes das principais vulnerabilidades descobertas na plataforma de comércio eletrônico da Honda para equipamentos de energia, produtos marítimos e para gramados e jardins.
Ele permitia que qualquer pessoa redefinisse a senha de qualquer conta e, portanto, estava aberto ao acesso não autorizado.
O pesquisador descobriu as falhas de segurança e o vazamento de dados no início deste ano e informou a Honda sobre suas descobertas em meados de março.
O fornecedor reconheceu os problemas imediatamente e parabenizou o hacker de chapéu branco por seus esforços, mas não o compensou porque faltava um programa de recompensas por bugs.
A Honda informou que não descobriu nenhuma prova de exploração maliciosa.
“Eu comprometi a plataforma de comércio eletrônico do revendedor de equipamentos elétricos/marinhos/gramados e jardins da Honda ao explorar uma API de redefinição de senha que me permitiu redefinir facilmente a senha de qualquer conta”, disse o pesquisador.
“Controles de acesso quebrados/ausentes possibilitaram o acesso a todos os dados da plataforma, mesmo quando conectado como uma conta de teste.”
A plataforma impulsiona o Honda Dealer Sites, um serviço que permite aos revendedores criar sites para vender produtos Honda. Depois de criar uma conta, os revendedores recebem todos os recursos necessários para construir um site, comercializá-lo e gerenciar pedidos de produtos.
Uma vulnerabilidade de API de redefinição de senha em um painel de administração
O pesquisador encontrou uma falha na API de redefinição de senha no painel de administração que lhe permitiu alterar a senha de uma configuração de conta de teste Honda.
Acesso administrativo completo obtido com acesso a:
- 21.393 pedidos de clientes em todos os revendedores de agosto de 2016 a março de 2023, incluindo nome do cliente, endereço, número de telefone e itens encomendados.
- 1.570 sites de revendedores (1.091 deles estão ativos). Foi possível modificar qualquer um desses sites.
- 3.588 usuários/contas de revendedores (inclui nome e sobrenome, endereço de e-mail). Foi possível alterar a senha de qualquer um desses usuários.
- 1.090 e-mails de revendedores (inclui nome e sobrenome).
- 11.034 e-mails de clientes (inclui nome e sobrenome).
- Potencialmente: chaves privadas Stripe, PayPal e Authorize.net para revendedores que as forneceram.
- Relatórios financeiros internos.
O pesquisador mencionou que o “powerdealer[.]Os subdomínios honda.com” são fornecidos a revendedores e revendedores autorizados pela plataforma de comércio eletrônico da Honda, que contém o problema da API.
Ele descobriu que a API de redefinição de senha do Power Equipment Tech Express (PETE) em um dos sites da Honda realizava solicitações de redefinição sem um token ou senha anterior e exigia apenas um e-mail válido.
Apesar da ausência desta vulnerabilidade no portal de login de subdomínios de comércio eletrônico, qualquer pessoa pode acessar dados internos da concessionária usando esse ataque direto porque as credenciais alteradas no site PETE ainda funcionariam lá.
O pesquisador obteve um endereço de e-mail de revendedor legítimo de um YouTube vídeo que mostrou como usar uma conta de teste para acessar o painel do revendedor.
YouTube vídeo expõe e-mail da conta de teste
“Essa plataforma atribui IDs numéricos para tudo, desde pedidos até sites. Os IDs eram sequenciais, então basta adicionar +1 ao ID atual levaria você ao próximo registro”, explicou o pesquisador.
A barra de endereço do navegador exibia o ID fornecido a cada site de revendedor. Ele descobriu que poderia acessar o painel de um revendedor diferente alterando esse ID.
A última etapa da operação foi o acesso ao painel de administração da Honda, que funciona como principal interface de gestão da plataforma de e-commerce da empresa.
Ao alterar uma resposta HTTP para fazer parecer que ele era um administrador, o pesquisador obteve acesso irrestrito à plataforma de sites de concessionárias Honda.
O pesquisador disse que campanhas de phishing altamente direcionadas podem ser desenvolvidas com acesso a mais de 21.000 pedidos de clientes para enganar os clientes e fazê-los enviar dados ainda mais confidenciais ou para tentar instalar malware em seus dispositivos.
Além disso, mais de 1.000 sites ativos poderiam ter sido alterados secretamente para incluir malware perigoso, como skimmers de cartão de crédito e mineradores de criptografia.
