Le vulnerabilità di sicurezza scoperte nella piattaforma di e-commerce di Honda potrebbero essere sfruttate per ottenere un accesso illimitato alle informazioni sensibili dei concessionari.
Controlli di accesso rotti o mancanti hanno reso possibile l'accesso a tutti i dati della piattaforma, comrendenti anche gli account di prova.
La piattaforma è stata progettata per la vendita di attrezzature elettriche, nautiche e per il giardinaggio senza avere alcun impatto sulla divisione automobilistica dell'azienda giapponese.
L'hack, in breve, sfrutta un meccanismo di reimpostazione della password su uno dei siti di Honda, Power Equipment Tech Express (PETE), per reimpostare la password associata a qualsiasi account e ottenere un accesso completo a livello di amministrazione.
Ciò è reso possibile dal fatto che l'API consente a qualsiasi utente di inviare una richiesta di reimpostazione della password semplicemente conoscendo il nome utente o l'indirizzo e-mail e senza dover inserire una password legata a quell'account. Armato di questa capacità, un malintenzionato potrebbe accedere e impossessarsi di un altro account e, successivamente, sfruttare la natura sequenziale degli URL del sito del concessionario (ad esempio, "admin.pedealer.honda[.]com/dealersite/<ID>/dashboard") per ottenere l'accesso non autorizzato al dashboard di amministrazione di un altro concessionario.
Clicca qui per saperne di più!
Trovi interessante questo articolo?
Seguici anche sulle nostre pagine Social e su Linkedin per non perdere i nostri nuovi post.
Commentaires