Redazione RHC : 12 Giugno 2023 18:28
La piattaforma di e-commerce di Honda per apparecchiature elettriche, motori fuoribordo e attrezzature da giardino è stata vulnerabile all’accesso non autorizzato. Di conseguenza, chiunque avrebbe potuto utilizzare un bug nell’API per reimpostare la password per qualsiasi account.
Si sottolinea che il problema non ha colpito i possessori di auto e moto Honda. Il problema è stato scoperto dal ricercatore di sicurezza Eaton Zveare, che qualche mese fa ha trovato bug simili sul portale dei fornitori di Toyota.
Lo specialista afferma che l‘API di reimpostazione della password ha permesso di reimpostare la password degli account e quindi ottenere un accesso illimitato ai dati a livello di amministratore.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]Supporta RHC attraverso:
- L'acquisto del fumetto sul Cybersecurity Awareness
- Ascoltando i nostri Podcast
- Seguendo RHC su WhatsApp
- Seguendo RHC su Telegram
- Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
“I controlli di accesso mancanti consentivano l’accesso a tutti i dati sulla piattaforma, anche quando si accedeva come account di prova”, ha spiegato Zvir.
Il difetto nell’API era correlato alla piattaforma di e-commerce di Honda, che assegna sottodomini powerdealer.honda.com a rivenditori e rivenditori registrati, ha affermato. Un’API di reimpostazione della password su uno dei siti Honda, Power Equipment Tech Express (PETE), ha gestito le richieste di reimpostazione della password senza un token o una password precedente, richiedendo solo un indirizzo e-mail valido.
Sebbene la vulnerabilità non si manifestasse nel portale di accesso stesso, le credenziali passate attraverso PETE funzionavano ancora, quindi chiunque poteva accedere ai dati interni dei rivenditori.
Inoltre, il ricercatore ha appreso l’indirizzo e-mail valido del rivenditore da una registrazione video di un webinar su YouTube, che mostrava il pannello di controllo a disposizione dei rivenditori e un account di prova.
Sebbene ciò consentisse solo l’accesso a un account di prova, Zvir ha rilevato un’altra vulnerabilità che gli ha consentito di accedere ai dati di qualsiasi rivenditore semplicemente modificando il valore dell’ID nell’URL del pannello di amministrazione.
Di conseguenza, dopo aver studiato la piattaforma Honda e le sue carenze, l’esperto ha trovato le seguenti informazioni:
I dati elencati potrebbero essere utilizzati per organizzare campagne di phishing, attacchi di ingegneria sociale o potrebbero essere venduti su forum underground e mercati darknet. Inoltre, avendo accesso ai siti Web dei rivenditori, gli aggressori potrebbero iniettare web skimmer e altri malware nel loro codice.
L’esperto ha notificato a Honda le sue scoperte già il 16 marzo 2023 e il 3 aprile 2023 la società ha confermato che tutti i problemi erano stati risolti. Dal momento che la Honda non ha un programma di bug bounty, Zvir non ha ricevuto alcuna ricompensa per la sua ricerca.
Broadcom ha risolto una grave vulnerabilità di escalation dei privilegi in VMware Aria Operations e VMware Tools, che era stata sfruttata in attacchi a partire da ottobre 2024. Al problema è stato a...
In un settore un tempo dominato da star dal vivo, i personaggi digitali si stanno facendo sempre più strada. Durante un summit a Zurigo, Ellin van der Velden, attrice, comica e tecnologa, ha annuncia...
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto una vulnerabilità critica nella popolare utility Sudo, utilizzata su sistemi Linux e Unix-like, al suo catalog...
Negli ultimi anni gli attacchi informatici sono diventati una delle principali minacce per le aziende, indipendentemente dal settore. Se i reparti tecnici si concentrano sulla risoluzione dei problemi...
Nel 2025 l’Unione Europea vuole avere il controllo totale sulle chat private. Il Regolamento “Chat Control” (proposta COM(2022)209) promette di combattere la pornografia minorile con la scansion...