Bir güvenlik araştırmacısı olan Eaton Zveare, Honda’nın güç ekipmanı, denizcilik ve çim ve bahçe ürünlerine yönelik e-ticaret platformunda ortaya çıkarılan önemli güvenlik açıklarının ayrıntılarını yayınladı.
Herkesin herhangi bir hesap için şifresini sıfırlamasına izin verdi ve bu nedenle yetkisiz erişime açıktı.
.png
)
Araştırmacı, güvenlik açıklarını ve veri sızıntısını bu yılın başlarında buldu ve bulgularını Mart ortasında Honda’ya bildirdi.
Satıcı, sorunları hemen kabul etti ve beyaz şapkalı bilgisayar korsanını çabalarından dolayı tebrik etti, ancak bir hata ödül programı olmadığı için ona tazminat ödemedi.
Honda, kötü niyetli sömürüye dair herhangi bir kanıt bulamadığını bildirdi.
Araştırmacı, “Herhangi bir hesabın parolasını kolayca sıfırlamama izin veren bir parola sıfırlama API’sinden yararlanarak Honda’nın güç ekipmanı/denizcilik/çimlik ve bahçe satıcısı e-Ticaret platformunu tehlikeye attım” dedi.
“Kırık/eksik erişim kontrolleri, test hesabı olarak oturum açıldığında bile platformdaki tüm verilere erişmeyi mümkün kıldı.”
Platform, bayilerin Honda ürünlerini satmak için web siteleri oluşturmasına olanak tanıyan bir hizmet olan Honda Bayi Sitelerini yönlendiriyor. Bayilere, bir hesap oluşturduktan sonra bir web sitesi oluşturmak, pazarlamak ve ürün siparişlerini yönetmek için ihtiyaç duydukları tüm kaynaklar verilir.
Yönetici Panosundaki Parola Sıfırlama API Güvenlik Açığı
Araştırmacı, yönetici panosunda bir Honda test hesabı kurulumu için parolayı değiştirmesine izin veren bir parola sıfırlama API hatası buldu.
Şunlara erişimle elde edilen eksiksiz yönetici erişimi:
- Müşteri adı, adresi, telefon numarası ve sipariş edilen ürünler dahil olmak üzere Ağustos 2016’dan Mart 2023’e kadar tüm bayilerde 21.393 müşteri siparişi.
- 1.570 bayi web sitesi (bunların 1.091’i aktif). Bu sitelerden herhangi birini değiştirmek mümkündü.
- 3.588 bayi kullanıcısı/hesabı (ad ve soyadı, e-posta adresi dahil). Bu kullanıcılardan herhangi birinin şifresini değiştirmek mümkündü.
- 1.090 bayi e-postası (ad ve soyadı içerir).
- 11.034 müşteri e-postası (ad ve soyadı içerir).
- Potansiyel olarak: Bunları sağlayan satıcılar için Stripe, PayPal ve Authorize.net özel anahtarları.
- Dahili finansal raporlar.
Araştırmacı, “powerdealer[.]honda.com” alt alan adları Honda’nın API sorununu içeren e-ticaret platformu tarafından yetkili satıcı ve bayilere verilmektedir.
Honda’nın web sitelerinden birindeki Power Equipment Tech Express (PETE) parola sıfırlama API’sinin, sıfırlama isteklerini bir belirteç veya önceki parola olmadan gerçekleştirdiğini ve yalnızca geçerli bir e-posta gerektirdiğini keşfetti.
E-ticaret alt etki alanları oturum açma portalında bu güvenlik açığı olmamasına rağmen, PETE sitesinde değiştirilen kimlik bilgileri orada çalışmaya devam edeceğinden, herkes bu basit saldırıyı kullanarak dahili bayilik verilerine erişebilir.
Araştırmacı, bayi panosuna erişmek için bir test hesabının nasıl kullanılacağını gösteren bir YouTube videosundan meşru bir bayi e-posta adresi aldı.
YouTube videosu test hesabı e-postasını gösteriyor
“Bu platform, siparişlerden sitelere kadar her şeye sayısal kimlikler atar. Kimlikler sıralıydı, bu nedenle mevcut kimliğe sadece +1 eklemek sizi bir sonraki kayda götürürdü” diye açıkladı araştırmacı.
Tarayıcı adres çubuğu, her bayi sitesine verilen kimliği gösteriyordu. Bu kimliği değiştirerek farklı bir satıcının kontrol paneline erişebileceğini keşfetti.
Operasyonun son aşaması, şirketin e-ticaret platformu için ana yönetim arayüzü görevi gören Honda’nın yönetici paneline erişim sağlamaktı.
Araştırmacı, bir yöneticiymiş gibi görünmesi için bir HTTP yanıtını değiştirerek Honda Bayi Siteleri platformuna sınırsız erişim elde etti.
Araştırmacı, müşterileri daha da hassas veriler göndermeleri için kandırmak veya cihazlarına kötü amaçlı yazılım yüklemeye çalışmak için 21.000’den fazla müşteri siparişine erişimle yüksek oranda hedeflenmiş kimlik avı kampanyalarının geliştirilebileceğini söyledi.
Ayrıca, 1000’den fazla aktif web sitesi, kredi kartı dolandırıcıları ve kripto madencileri gibi tehlikeli kötü amaçlı yazılımları içerecek şekilde gizlice değiştirilmiş olabilir.
İş E-postanızı Hedefleyen Gelişmiş E-posta Tehditlerini Durdurun – Yapay Zeka Destekli E-posta Güvenliğini Deneyin