آسیبپذیریهای امنیتی کشفشده در پلتفرم تجارت الکترونیک هوندا میتوانست برای دسترسی نامحدود به اطلاعات حساس فروشنده مورد سوء استفاده قرار بگیرد.
Eaton Zveare، محقق امنیتی، در گزارشی که هفته گذشته منتشر شد، گفت: «کنترلهای دسترسی شکسته/فقدان دسترسی به تمام دادههای روی پلتفرم را، حتی زمانی که به عنوان یک حساب آزمایشی وارد شدهاید، ممکن میسازد.
این پلت فرم برای فروش تجهیزات برق، مشاغل دریایی، چمن و باغ طراحی شده است. این تاثیری بر بخش خودروسازی شرکت ژاپنی ندارد.
به طور خلاصه، این هک از مکانیزم بازنشانی رمز عبور در یکی از سایتهای هوندا، Power Equipment Tech Express (PETE) برای بازنشانی رمز عبور مرتبط با هر حساب و دسترسی کامل در سطح مدیریت استفاده میکند.
این امر به دلیل این واقعیت امکان پذیر است که API به هر کاربری اجازه می دهد تا فقط با دانستن نام کاربری یا آدرس ایمیل و بدون نیاز به وارد کردن رمز عبور مرتبط با آن حساب، درخواست بازنشانی رمز عبور را ارسال کند.
با داشتن این قابلیت، یک عامل مخرب میتواند وارد سیستم شده و حساب دیگری را تصاحب کند، و متعاقباً از ماهیت ترتیبی URLهای سایت فروشنده (به عنوان مثال، "admin.pedealer.honda[.]com/dealersite/<ID>/dashboard استفاده کند. ) برای دسترسی غیرمجاز به داشبورد مدیریت فروشنده دیگر.
تجارت الکترونیک هوندا
Zveare توضیح داد: «فقط با افزایش آن شناسه، میتوانم به اطلاعات هر فروشنده دسترسی داشته باشم. "کد زیربنایی جاوا اسکریپت آن شناسه را می گیرد و از آن در فراخوانی های API برای واکشی داده ها و نمایش آن ها در صفحه استفاده می کند. خوشبختانه، این کشف نیاز به بازنشانی گذرواژه های دیگر را مورد بحث قرار داد."
بدتر از آن، نقص طراحی میتوانست برای دسترسی به مشتریان یک فروشنده، ویرایش وبسایت و محصولات آنها، و بدتر از آن، ارتقای امتیازات به مدیر کل پلتفرم - ویژگی محدود به کارمندان هوندا - با استفاده از یک ابزار خاص استفاده شود. درخواست برای مشاهده جزئیات شبکه نمایندگی.
در مجموع، نقاط ضعف امکان دسترسی غیرقانونی به 21393 سفارش مشتری را در تمامی نمایندگیها از آگوست 2016 تا مارس 2023، 1570 وبسایت فروشنده (که 1091 وبسایت فعال هستند)، 3588 حساب فروشنده، 1090 ایمیل فروشنده، و 11034 ایمیل مشتری را ممکن میسازد.
عوامل تهدید همچنین میتوانند با کاشت کدهای ماینینگ اسکیمر یا رمزارز، دسترسی به این وبسایتهای فروشندگان را افزایش دهند و از این طریق به آنها اجازه دهند سودهای غیرقانونی به دست آورند.
این آسیبپذیریها، پس از افشای مسئولانه در 16 مارس 2023، از 3 آوریل 2023 توسط هوندا برطرف شده است.
این افشاگری ماهها پس از جزئیات جزئیات امنیتی Zveare در سیستم مدیریت اطلاعات تهیهکننده جهانی تویوتا (GSPIMS) و C360 CRM صورت میگیرد که میتوانست برای دسترسی به اطلاعات زیادی از شرکتها و مشتریان استفاده شود.
Eaton Zveare، محقق امنیتی، در گزارشی که هفته گذشته منتشر شد، گفت: «کنترلهای دسترسی شکسته/فقدان دسترسی به تمام دادههای روی پلتفرم را، حتی زمانی که به عنوان یک حساب آزمایشی وارد شدهاید، ممکن میسازد.
این پلت فرم برای فروش تجهیزات برق، مشاغل دریایی، چمن و باغ طراحی شده است. این تاثیری بر بخش خودروسازی شرکت ژاپنی ندارد.
به طور خلاصه، این هک از مکانیزم بازنشانی رمز عبور در یکی از سایتهای هوندا، Power Equipment Tech Express (PETE) برای بازنشانی رمز عبور مرتبط با هر حساب و دسترسی کامل در سطح مدیریت استفاده میکند.
این امر به دلیل این واقعیت امکان پذیر است که API به هر کاربری اجازه می دهد تا فقط با دانستن نام کاربری یا آدرس ایمیل و بدون نیاز به وارد کردن رمز عبور مرتبط با آن حساب، درخواست بازنشانی رمز عبور را ارسال کند.
با داشتن این قابلیت، یک عامل مخرب میتواند وارد سیستم شده و حساب دیگری را تصاحب کند، و متعاقباً از ماهیت ترتیبی URLهای سایت فروشنده (به عنوان مثال، "admin.pedealer.honda[.]com/dealersite/<ID>/dashboard استفاده کند. ) برای دسترسی غیرمجاز به داشبورد مدیریت فروشنده دیگر.
تجارت الکترونیک هوندا
Zveare توضیح داد: «فقط با افزایش آن شناسه، میتوانم به اطلاعات هر فروشنده دسترسی داشته باشم. "کد زیربنایی جاوا اسکریپت آن شناسه را می گیرد و از آن در فراخوانی های API برای واکشی داده ها و نمایش آن ها در صفحه استفاده می کند. خوشبختانه، این کشف نیاز به بازنشانی گذرواژه های دیگر را مورد بحث قرار داد."
بدتر از آن، نقص طراحی میتوانست برای دسترسی به مشتریان یک فروشنده، ویرایش وبسایت و محصولات آنها، و بدتر از آن، ارتقای امتیازات به مدیر کل پلتفرم - ویژگی محدود به کارمندان هوندا - با استفاده از یک ابزار خاص استفاده شود. درخواست برای مشاهده جزئیات شبکه نمایندگی.
در مجموع، نقاط ضعف امکان دسترسی غیرقانونی به 21393 سفارش مشتری را در تمامی نمایندگیها از آگوست 2016 تا مارس 2023، 1570 وبسایت فروشنده (که 1091 وبسایت فعال هستند)، 3588 حساب فروشنده، 1090 ایمیل فروشنده، و 11034 ایمیل مشتری را ممکن میسازد.
عوامل تهدید همچنین میتوانند با کاشت کدهای ماینینگ اسکیمر یا رمزارز، دسترسی به این وبسایتهای فروشندگان را افزایش دهند و از این طریق به آنها اجازه دهند سودهای غیرقانونی به دست آورند.
این آسیبپذیریها، پس از افشای مسئولانه در 16 مارس 2023، از 3 آوریل 2023 توسط هوندا برطرف شده است.
این افشاگری ماهها پس از جزئیات جزئیات امنیتی Zveare در سیستم مدیریت اطلاعات تهیهکننده جهانی تویوتا (GSPIMS) و C360 CRM صورت میگیرد که میتوانست برای دسترسی به اطلاعات زیادی از شرکتها و مشتریان استفاده شود.