La plate-forme de commerce électronique de Honda pour les équipements électriques, la marine, la pelouse et le jardin était vulnérable à un accès non autorisé par quiconque en raison de failles d’API qui permettent la réinitialisation du mot de passe pour n’importe quel compte.
Honda est un fabricant japonais d’automobiles, de motos et d’équipements électriques. Dans ce cas, seule cette dernière division est touchée, donc les propriétaires de voitures ou de motos Honda ne sont pas touchés.
La faille de sécurité dans les systèmes de Honda a été découverte par le chercheur en sécurité Eaton Zveare, le même qui a piraté le portail des fournisseurs de Toyota il y a quelques mois, exploitant des vulnérabilités similaires.
Pour Honda, Eaton Works a exploité une API de réinitialisation de mot de passe pour réinitialiser le mot de passe de comptes précieux, puis bénéficier d’un accès illimité aux données de niveau administrateur sur le réseau de l’entreprise.
« Les contrôles d’accès cassés/manquants permettaient d’accéder à toutes les données de la plateforme, même en étant connecté en tant que compte de test », explique le chercheur.
En conséquence, les informations suivantes ont été exposées au chercheur en sécurité et éventuellement aux acteurs de la menace exploitant la même vulnérabilité :
- 21 393 commandes de clients chez tous les concessionnaires d’août 2016 à mars 2023 – cela inclut le nom, l’adresse, le numéro de téléphone et les articles commandés du client.
- 1 570 sites Web de concessionnaires (dont 1 091 sont actifs). Il était possible de modifier n’importe lequel de ces sites.
- 3 588 utilisateurs/comptes de concessionnaires (comprend le prénom et le nom de famille, l’adresse e-mail). Il était possible de changer le mot de passe de chacun de ces utilisateurs.
- 1 090 e-mails de concessionnaires (comprend le nom et le prénom).
- 11 034 e-mails de clients (y compris le prénom et le nom).
- Potentiellement : clés privées Stripe, PayPal et Authorize.net pour les revendeurs qui les ont fournies.
- Rapports financiers internes.
Les données ci-dessus pourraient être utilisées pour lancer des campagnes de phishing, des attaques d’ingénierie sociale ou vendues sur des forums de hackers et des marchés du dark web.
De plus, en ayant accès aux sites des revendeurs, les attaquants pourraient planter des skimmers de cartes de crédit ou d’autres extraits de code JavaScript malveillants.
Accéder aux panneaux d’administration
Zveare explique que la faille de l’API résidait dans la plate-forme de commerce électronique de Honda, qui attribue des sous-domaines « powerdealer.honda.com » aux revendeurs/concessionnaires enregistrés.
Le chercheur a découvert que l’API de réinitialisation de mot de passe sur l’un des sites de Honda, Power Equipment Tech Express (PETE), traitait les demandes de réinitialisation sans jeton ni mot de passe précédent, ne nécessitant qu’un e-mail valide.
Bien que cette vulnérabilité ne soit pas présente sur le portail de connexion des sous-domaines de commerce électronique, les informations d’identification transférées via le site PETE fonctionneront toujours sur eux, de sorte que n’importe qui peut accéder aux données internes du concessionnaire via cette simple attaque.
La seule pièce manquante est d’avoir une adresse e-mail valide appartenant à un revendeur, que le chercheur s’est procuré à partir d’une vidéo YouTube qui a présenté le tableau de bord du revendeur à l’aide d’un compte de test.
L’étape suivante consistait à accéder aux informations de vrais revendeurs en plus du compte de test. Cependant, il serait préférable de le faire sans perturber leur fonctionnement et sans avoir à réinitialiser les mots de passe de centaines de comptes.
La solution trouvée par le chercheur consistait à tirer parti d’une deuxième vulnérabilité, à savoir l’attribution séquentielle d’identifiants d’utilisateur dans la plate-forme et le manque de protections d’accès.
Cela a permis d’accéder arbitrairement aux panneaux de données de tous les concessionnaires Honda en incrémentant l’ID utilisateur de un jusqu’à ce qu’il n’y ait plus d’autres résultats.
« Juste en incrémentant cet identifiant, je pouvais accéder aux données de chaque concessionnaire. Le code JavaScript sous-jacent prend cet identifiant et l’utilise dans les appels d’API pour récupérer les données et les afficher sur la page. Heureusement, cette découverte a rendu inutile la réinitialisation des mots de passe. . » dit Zvaere.
Il est à noter que la faille ci-dessus aurait pu être exploitée par les concessionnaires enregistrés de Honda pour accéder aux panels d’autres concessionnaires, et par extension, à leurs commandes, coordonnées clients, etc.
La dernière étape de l’attaque consistait à accéder au panneau d’administration de Honda, qui est le point de contrôle central de la plate-forme de commerce électronique de l’entreprise.
Le chercheur y a accédé en modifiant une réponse HTTP pour la faire apparaître comme s’il était un administrateur, lui donnant un accès illimité à la plateforme Honda Dealer Sites.
Ce qui précède a été signalé à Honda le 16 mars 2023 et le 3 avril 2023, la firme japonaise a confirmé que tous les problèmes avaient été résolus.
N’ayant pas de programme de primes aux bogues en place, Honda n’a pas récompensé Zveare pour ses rapports responsables, ce qui est le même résultat que dans l’affaire Toyota.