Falhas na API da Honda expuseram dados do cliente, painéis de revendedores e documentos internos
9 de Junho de 2023

A plataforma de comércio eletrônico da Honda para equipamentos de energia, equipamentos marítimos e de jardinagem estava vulnerável a acesso não autorizado por causa de falhas na API que permitem a redefinição de senha para qualquer conta.

A Honda é uma fabricante japonesa de automóveis, motocicletas e equipamentos de energia.

Neste caso, apenas a última divisão é afetada, então proprietários de carros ou motocicletas da Honda não são afetados.

A lacuna de segurança nos sistemas da Honda foi descoberta pelo pesquisador de segurança Eaton Zveare, o mesmo que invadiu o portal de fornecedores da Toyota há alguns meses, aproveitando vulnerabilidades semelhantes.

Para a Honda, Eaton Works explorou uma API de redefinição de senha para redefinir a senha de contas valiosas e, em seguida, desfrutar de acesso irrestrito aos dados de nível administrativo na rede da empresa.

"Controles de acesso quebrados/faltando permitiram o acesso a todos os dados na plataforma, mesmo quando conectado como uma conta de teste", explica o pesquisador.

Além disso, tendo acesso aos sites de revendedores, os atacantes poderiam implantar roubadores de cartão de crédito ou outros snippets maliciosos de JavaScript.

Zveare explica que a falha na API estava na plataforma de comércio eletrônico da Honda, que atribui subdomínios "powerdealer honda" a revendedores/revendedores registrados.

O pesquisador descobriu que a API de redefinição de senha em um dos sites da Honda, Power Equipment Tech Express (PETE), processava solicitações de redefinição sem um token ou a senha anterior, exigindo apenas um e-mail válido.

Embora essa vulnerabilidade não esteja presente no portal de login dos subdomínios de comércio eletrônico, as credenciais alternadas pelo site PETE ainda funcionarão neles, então qualquer pessoa pode acessar dados internos da concessionária por meio desse ataque simples.

A única peça que falta é ter um endereço de e-mail válido pertencente a um revendedor, que o pesquisador obteve de um vídeo do YouTube que demonstrava o painel do revendedor usando uma conta de teste.

O próximo passo foi acessar informações de revendedores reais além da conta de teste.

No entanto, seria preferível fazê-lo sem interromper sua operação e sem ter que redefinir as senhas de centenas de contas.

A solução encontrada pelo pesquisador foi aproveitar uma segunda vulnerabilidade, que é a atribuição sequencial de IDs de usuário na plataforma e a falta de proteções de acesso.

Isso tornou possível acessar os painéis de dados de todos os revendedores da Honda arbitrariamente, incrementando o ID do usuário em um até que não houvesse mais resultados.

"Apenas incrementando esse ID, eu poderia acessar os dados de todos os revendedores.

O código JavaScript subjacente usa esse ID em chamadas de API para buscar dados e exibi-los na página.

Felizmente, essa descoberta tornou a necessidade de redefinir mais senhas inútil", disse Zvaere.

Vale ressaltar que a falha acima poderia ter sido explorada pelos revendedores registrados da Honda para acessar os painéis de outros revendedores e, por extensão, seus pedidos, detalhes do cliente, etc.

A etapa final do ataque foi acessar o painel de administração da Honda, que é o ponto de controle central para a plataforma de comércio eletrônico da empresa.

O pesquisador acessou modificando uma resposta HTTP para parecer que ele era um administrador, dando-lhe acesso ilimitado à plataforma Honda Dealer Sites.

O acima foi relatado à Honda em 16 de março de 2023 e, em 3 de abril de 2023, a empresa japonesa confirmou que todos os problemas haviam sido corrigidos.

Não tendo um programa de recompensa por bugs em vigor, a Honda não recompensou Zveare por sua notificação responsável, o que é o mesmo resultado do caso da Toyota.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...