Các lỗ hổng bảo mật được phát hiện trong nền tảng thương mại điện tử của Honda có thể đã bị khai thác để giành được quyền truy cập không hạn chế vào thông tin nhạy cảm của các đại lý.
Trong một báo cáo được công bố vào tuần trước, nhà nghiên cứu bảo mật Eaton Zveare cho biết: “Việc thiếu kiểm soát truy cập dẫn đến có thể truy cập tất cả dữ liệu trên nền tảng, ngay cả khi đăng nhập bằng tài khoản thử nghiệm”.
Nền tảng này được thiết kế để bán các thiết bị điện, hàng hải, bãi cỏ và vườn tược. Nó không ảnh hưởng đến bộ phận ô tô của công ty.
Vụ hack khai thác cơ chế thiết lập lại mật khẩu trên một trong các trang web của Honda, Power Equipment Tech Express (PETE), để đặt lại mật khẩu được liên kết với bất kỳ tài khoản nào và có được toàn quyền truy cập ở mức quản trị viên.
Điều này có thể đạt được do API cho phép bất kỳ người dùng đặt lại mật khẩu nếu biết tên người dùng hoặc địa chỉ email mà không cần phải nhập mật khẩu gắn với tài khoản đó.
Biết được điều này, kẻ xấu có thể đăng nhập và chiếm đoạt một tài khoản khác, sau đó lợi dụng tính chất tuần tự của URL trang web đại lý (ví dụ: "admin.pedealer.honda[.]com/dealersite//dashboard ) để có quyền truy cập trái phép vào trang điều khiển quản trị của các đại lý khác. "Chỉ bằng cách tăng ID đó, tôi có thể truy cập vào dữ liệu của mọi đại lý," Zveare giải thích.
Lỗ hổng có thể đã bị lạm dụng để xem thông tin khách hàng của đại lý, chỉnh sửa trang web và sản phẩm của họ, tệ hơn là nâng quyền thành quản trị viên của toàn bộ nền tảng - một tính năng chỉ dành cho nhân viên của Honda.
Tổng cộng, các lỗ hổng đã cho phép truy cập trái phép vào 21.393 đơn đặt hàng của khách hàng trên tất cả các đại lý từ tháng 8 năm 2016 đến tháng 3 năm 2023, 1.570 trang web của đại lý (trong đó có 1.091 trang đang hoạt động), 3.588 tài khoản đại lý, 1.090 email của đại lý và 11.034 email của khách hàng.
Các tác nhân đe dọa cũng có thể lạm dụng quyền truy cập vào các trang web đại lý này để cài cắm phần mềm skimmer (công cụ đánh cắp thông tin từ các thiết bị thanh toán) hoặc mã khai thác tiền điện tử, do đó cho phép chúng thu lợi bất hợp pháp.
Các lỗ hổng, sau khi được tiết lộ có trách nhiệm vào ngày 16 tháng 3 năm 2023, đã được Honda giải quyết kể từ ngày 3 tháng 4 năm 2023.
Tiết lộ được đưa ra vài tháng sau khi Zveare trình bày chi tiết các vấn đề bảo mật trong Hệ thống quản lý thông tin chuẩn bị cho nhà cung cấp toàn cầu của Toyota (GSPIMS) và C360 CRM có thể đã bị lạm dụng để truy cập vào vô số dữ liệu của công ty và khách hàng.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một vụ lừa đảo tiền điện tử mới bị phát hiện gần đây đã lạm dụng hơn 1.000 trang web lừa đảo để lừa người dùng tham gia vào một chương trình phần thưởng giả mạo kể từ ít nhất là tháng 1 năm 2021.
Tín nhiệm mạng | Một nhóm hack được gọi là 'Pink Drainer' đang mạo danh các nhà báo trong các chiến dịch lừa đảo nhằm xâm phạm tài khoản Discord và Twitter để thực hiện các cuộc tấn công đánh cắp tiền điện tử.
Tín nhiệm mạng | Fortinet đã phát hành bản cập nhật firmware Fortigate mới để khắc phục một lỗ hổng thực thi mã từ xa nghiêm trọng, chưa được tiết lộ, trong các thiết bị SSL VPN.
Tín nhiệm mạng | HelloTeache, biến thể mới của phần mềm gián điệp Android, đang nhắm mục tiêu vào những người dùng ngân hàng phổ biến ở Việt Nam.
Tín nhiệm mạng | Outlook.com đã gặp phải một loạt sự cố ngừng hoạt động trong khi nhóm tin tặc Anonymous Sudan tuyên bố thực hiện các cuộc tấn công DDoS vào dịch vụ này
Tín nhiệm mạng | Hàng chục nghìn ứng dụng phần mềm quảng cáo dành cho Android đã bị phát hiện là giả dạng các phiên bản bẻ khóa hoặc sửa đổi của các ứng dụng phổ biến để phát tán quảng cáo
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
