Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Heim
Jun 02, 2023
Honda-API-Fehler haben Kundendaten, Händlerpanels und interne Dokumente offengelegt
Hondas E-Commerce-Plattform für Elektrogeräte, Marine, Rasen und Garten
Hondas E-Commerce-Plattform für Elektrogeräte, Marine, Rasen und Garten war aufgrund von API-Fehlern, die das Zurücksetzen des Passworts für jedes Konto ermöglichten, anfällig für unbefugten Zugriff durch jedermann.
Honda ist ein japanischer Hersteller von Automobilen, Motorrädern und Elektrogeräten. In diesem Fall ist nur die letztgenannte Sparte betroffen, Besitzer von Honda-Autos oder -Motorrädern sind also nicht betroffen.
Die Sicherheitslücke in den Systemen von Honda wurde vom Sicherheitsforscher Eaton Zveare entdeckt, der vor einigen Monaten auch das Zuliefererportal von Toyota gehackt und ähnliche Schwachstellen ausgenutzt hatte.
Für Honda nutzte Eaton Works eine Passwort-Reset-API, um das Passwort wertvoller Konten zurückzusetzen und dann uneingeschränkten Datenzugriff auf Administratorebene im Netzwerk des Unternehmens zu genießen.
„Defekte/fehlende Zugangskontrollen ermöglichten den Zugriff auf alle Daten auf der Plattform, auch wenn man als Testkonto angemeldet war“, erklärt der Forscher.
Infolgedessen wurden dem Sicherheitsforscher und möglicherweise Bedrohungsakteuren, die dieselbe Schwachstelle ausnutzen, die folgenden Informationen zugänglich gemacht:
Die oben genannten Daten könnten zum Starten von Phishing-Kampagnen und Social-Engineering-Angriffen verwendet oder in Hacker-Foren und Dark-Web-Märkten verkauft werden.
Durch den Zugriff auf die Händlerseiten könnten Angreifer außerdem Kreditkarten-Skimmer oder andere bösartige JavaScript-Snippets einschleusen.
Zveare erklärt, dass der API-Fehler in der E-Commerce-Plattform von Honda lag, die registrierten Wiederverkäufern/Händlern die Subdomains „powerdealer.honda.com“ zuweist.
Der Forscher fand heraus, dass die Passwort-Reset-API auf einer der Honda-Websites, Power Equipment Tech Express (PETE), Reset-Anfragen ohne Token oder das vorherige Passwort verarbeitete und lediglich eine gültige E-Mail-Adresse erforderte.
Auch wenn diese Schwachstelle im Anmeldeportal der E-Commerce-Subdomains nicht vorhanden ist, funktionieren die über die PETE-Site vermittelten Anmeldeinformationen trotzdem, sodass jeder durch diesen einfachen Angriff auf interne Händlerdaten zugreifen kann.
Das einzige, was fehlt, ist eine gültige E-Mail-Adresse eines Händlers, die der Forscher einem YouTube-Video entnommen hat, in dem das Händler-Dashboard mithilfe eines Testkontos vorgeführt wurde.
Der nächste Schritt bestand darin, neben dem Testkonto auch Informationen von echten Händlern abzurufen. Allerdings wäre es vorzuziehen, dies zu tun, ohne den Betrieb zu unterbrechen und ohne die Passwörter von Hunderten von Konten zurücksetzen zu müssen.
Die Lösung, die der Forscher fand, bestand darin, eine zweite Schwachstelle auszunutzen, nämlich die sequentielle Zuweisung von Benutzer-IDs in der Plattform und den fehlenden Zugriffsschutz.
Dadurch war es möglich, willkürlich auf die Datenfelder aller Honda-Händler zuzugreifen, indem die Benutzer-ID um eins erhöht wurde, bis keine anderen Ergebnisse mehr vorlagen.
„Allein durch die Erhöhung dieser ID könnte ich Zugriff auf die Daten jedes Händlers erhalten. Der zugrunde liegende JavaScript-Code nimmt diese ID und verwendet sie in API-Aufrufen, um Daten abzurufen und auf der Seite anzuzeigen. Glücklicherweise machte diese Entdeckung die Notwendigkeit, weitere Passwörter zurückzusetzen, überflüssig.“ ." sagte Zvaere.
Es ist erwähnenswert, dass der oben genannte Fehler von registrierten Honda-Händlern ausgenutzt werden könnte, um auf die Panels anderer Händler und damit auf deren Bestellungen, Kundendaten usw. zuzugreifen.
Der letzte Schritt des Angriffs bestand darin, auf das Admin-Panel von Honda zuzugreifen, das den zentralen Kontrollpunkt für die E-Commerce-Plattform des Unternehmens darstellt.
Der Forscher greift darauf zu, indem er eine HTTP-Antwort so ändert, dass er den Eindruck erweckt, er sei ein Administrator, und erhält so uneingeschränkten Zugriff auf die Plattform der Honda-Händlerseiten.
Das Obige wurde Honda am 16. März 2023 gemeldet und bis zum 3. April 2023 bestätigte das japanische Unternehmen, dass alle Probleme behoben worden seien.
Da es kein Bug-Bounty-Programm gab, belohnte Honda Zveare nicht für seine verantwortungsvolle Berichterstattung, was das gleiche Ergebnis wie im Toyota-Fall darstellt.
Hacker haben es auf einen WordPress-Plugin-Fehler abgesehen, nachdem ein PoC-Exploit veröffentlicht wurde
Der Fehler im benutzerdefinierten WordPress-Feld-Plugin setzt über eine Million Websites XSS-Angriffen aus
PrestaShop behebt einen Fehler, der es jedem Backend-Benutzer ermöglicht, Datenbanken zu löschen
Hacker nutzen Fehler im WordPress-Plugin Elementor Pro aus
VMware behebt kritische Schwachstellen im Netzwerkanalysetool vRealize
Offengelegte Kunden-E-Mails. Möglichkeit zum Bearbeiten des Seiteninhalts. API-Anfrage zum Zurücksetzen des Passworts an PETE gesendet. E-Mail-Adresse des Testkontos im YouTube-Video offengelegt. Erhöhung der Benutzer-ID-Nummer für den Zugriff auf alle Händler-Panels. Das Admin-Panel der Honda-Händlerseiten