Honda risolve il bug individuato dal ricercatore nella piattaforma per i rivenditori di attrezzature statunitensi

Jun 06, 2023

Honda ha affermato di aver risolto una vulnerabilità che avrebbe potuto consentire a chiunque di assumere il controllo degli account su una piattaforma utilizzata dai concessionari Honda Power Equipment e Honda Marine negli Stati Uniti.

Questa settimana, l'esperto di sicurezza informatica Eaton Zveare ha spiegato come è riuscito a compromettere la piattaforma sfruttando una falla che consentiva "facilmente" la reimpostazione della password di qualsiasi account.

Lo strumento è destinato ai concessionari statunitensi che vendono prodotti Honda come generatori di corrente, tosaerba e motori fuoribordo. Il problema non sembra avere alcun impatto sul business automobilistico della Honda, ma Zveare ha affermato che coloro che hanno acquistato altri prodotti Honda online potrebbero essere a rischio.

Honda ha confermato la vulnerabilità con Zveare in aprile e ha dichiarato a Record Future News che una volta venuta a conoscenza del problema, "ha rapidamente isolato l'accesso ai siti, successivamente ha aggiornato le misure di sicurezza dei siti" e alla fine li ha rimessi in servizio.

"Al momento, Honda non è a conoscenza di alcun utilizzo di questa vulnerabilità per accedere a informazioni sensibili sui consumatori o sui concessionari archiviate sui siti o di qualsiasi attività dannosa", ha affermato il portavoce.

"Sebbene ci rammarichiamo sinceramente per qualsiasi apprensione che questa situazione possa causare ai nostri clienti o rivenditori, apprezziamo aver ricevuto notifica dal ricercatore, che ci ha permesso di agire rapidamente per risolvere il problema."

Zveare ha affermato che la vulnerabilità gli ha permesso di accedere a tutti i dati sulla piattaforma, anche quando ha effettuato l'accesso da un account di prova. Con il suo accesso, ha potuto vedere 21.393 ordini dei clienti di tutti i rivenditori da agosto 2016 a marzo 2023, inclusi nomi dei clienti, indirizzi, numeri di telefono e articoli ordinati.

È stato anche in grado di accedere alle informazioni di 1.570 siti Web di rivenditori e di modificare qualsiasi sito. La vulnerabilità gli ha dato la possibilità di vedere tutti i 3.588 account dei rivenditori e modificare le password di qualsiasi utente. Ha visto più di 1.000 e-mail di rivenditori e oltre 11.000 e-mail di clienti.

Zveare ha osservato che potrebbe essere stato in grado di accedere alle chiavi private Stripe, PayPal e Authorize.net dei rivenditori che le hanno inserite sulla piattaforma.

È stato ispirato a testare la piattaforma dopo aver fatto scalpore a febbraio per aver acquisito il pieno controllo di un’app web Toyota chiamata Global Supplier Preparazione Information Management System (GSPIMS), nell’ottobre 2022. Quella piattaforma viene utilizzata per coordinare progetti, parti, sondaggi, acquisti e altro ancora.

"Dopo aver violato con successo i sistemi Toyota alcune volte alla fine dell'anno scorso, ho voluto cimentarmi con un nuovo obiettivo di una casa automobilistica. Perché Honda? Un mio buon amico di famiglia adora i veicoli Honda, quindi ho pensato che se avessi trovato una vulnerabilità interessante, sarebbe stata costituisce un argomento di conversazione divertente", ha detto.

Honda dispone della piattaforma eCommerce Honda Dealer Sites dal 2016 e consente ai concessionari di creare facilmente un sito Web o un negozio per vendere i prodotti Honda.

Zveare è riuscito ad accedere al sito attraverso un'altra piattaforma connessa chiamata Power Equipment Tech Express (PETE). Ha scoperto che l'abuso del meccanismo di reimpostazione della password su PETE funzionerebbe anche per gli account sulla piattaforma principale.

Era preoccupato di escludere un utente reale dal proprio account, quindi ha utilizzato un account di esempio utilizzato in un webinar su YouTube per i concessionari Honda. Da lì, tutto ciò di cui aveva bisogno era un indirizzo email per entrare.

"La vulnerabilità della reimpostazione della password era significativa e ora sapevo che se avessi trovato l'e-mail di un vero rivenditore, avrei potuto facilmente accedere al suo account. Tuttavia, ciò avrebbe potuto potenzialmente disturbare la sua attività, quindi ho evitato di farlo e ho invece provato a trovare un altro exploit meno dirompente", ha spiegato.

Ha quindi avuto accesso a grandi quantità di dati scoprendo che a tutti i conti erano assegnati numeri sequenziali. Guardare l'account di un rivenditore diverso era semplicemente questione di modificare l'URL di una cifra.

Zveare ha affermato che, a livello più elementare, un hacker avrebbe potuto facilmente far trapelare tutti i dati dei clienti e le informazioni del rivenditore. Ma hacker più sofisticati e motivati ​​dal punto di vista finanziario avrebbero potuto sfruttare il loro accesso per lanciare campagne di phishing mirate contro i clienti nel tentativo di rubare informazioni più preziose o installare malware.