🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Lỗ hổng trong nền tảng thương mại điện tử của Honda khiến dữ liệu của các đại lý gặp rủi ro

13/06/2023

Các lỗ hổng bảo mật được phát hiện trong nền tảng thương mại điện tử của Honda có thể đã bị khai thác để giành được quyền truy cập không hạn chế vào thông tin nhạy cảm của các đại lý.

Trong một báo cáo được công bố vào tuần trước, nhà nghiên cứu bảo mật Eaton Zveare cho biết: “Việc thiếu kiểm soát truy cập dẫn đến có thể truy cập tất cả dữ liệu trên nền tảng, ngay cả khi đăng nhập bằng tài khoản thử nghiệm”.

Nền tảng này được thiết kế để bán các thiết bị điện, hàng hải, bãi cỏ và vườn tược. Nó không ảnh hưởng đến bộ phận ô tô của công ty.

Vụ hack khai thác cơ chế thiết lập lại mật khẩu trên một trong các trang web của Honda, Power Equipment Tech Express (PETE), để đặt lại mật khẩu được liên kết với bất kỳ tài khoản nào và có được toàn quyền truy cập ở mức quản trị viên.

Điều này có thể đạt được do API cho phép bất kỳ người dùng đặt lại mật khẩu nếu biết tên người dùng hoặc địa chỉ email mà không cần phải nhập mật khẩu gắn với tài khoản đó.

Biết được điều này, kẻ xấu có thể đăng nhập và chiếm đoạt một tài khoản khác, sau đó lợi dụng tính chất tuần tự của URL trang web đại lý (ví dụ: "admin.pedealer.honda[.]com/dealersite//dashboard ) để có quyền truy cập trái phép vào trang điều khiển quản trị của các đại lý khác. "Chỉ bằng cách tăng ID đó, tôi có thể truy cập vào dữ liệu của mọi đại lý," Zveare giải thích.

Lỗ hổng có thể đã bị lạm dụng để xem thông tin khách hàng của đại lý, chỉnh sửa trang web và sản phẩm của họ, tệ hơn là nâng quyền thành quản trị viên của toàn bộ nền tảng - một tính năng chỉ dành cho nhân viên của Honda.

Tổng cộng, các lỗ hổng đã cho phép truy cập trái phép vào 21.393 đơn đặt hàng của khách hàng trên tất cả các đại lý từ tháng 8 năm 2016 đến tháng 3 năm 2023, 1.570 trang web của đại lý (trong đó có 1.091 trang đang hoạt động), 3.588 tài khoản đại lý, 1.090 email của đại lý và 11.034 email của khách hàng.

Các tác nhân đe dọa cũng có thể lạm dụng quyền truy cập vào các trang web đại lý này để cài cắm phần mềm skimmer (công cụ đánh cắp thông tin từ các thiết bị thanh toán) hoặc mã khai thác tiền điện tử, do đó cho phép chúng thu lợi bất hợp pháp.

Các lỗ hổng, sau khi được tiết lộ có trách nhiệm vào ngày 16 tháng 3 năm 2023, đã được Honda giải quyết kể từ ngày 3 tháng 4 năm 2023.

Tiết lộ được đưa ra vài tháng sau khi Zveare trình bày chi tiết các vấn đề bảo mật trong Hệ thống quản lý thông tin chuẩn bị cho nhà cung cấp toàn cầu của Toyota (GSPIMS) và C360 CRM có thể đã bị lạm dụng để truy cập vào vô số dữ liệu của công ty và khách hàng.

Nguồn: thehackernews.com.

scrolltop