Honda behebt einen von Forschern entdeckten Fehler in der Plattform für US-Ausrüstungshändler

Jun 06, 2023

Honda sagte, es habe eine Schwachstelle behoben, die es jedem hätte ermöglichen können, Konten auf einer Plattform zu übernehmen, die von Honda Power Equipment- und Honda Marine-Händlern in den Vereinigten Staaten genutzt wird.

Diese Woche erklärte der Cybersicherheitsexperte Eaton Zveare, wie er die Plattform kompromittieren konnte, indem er eine Schwachstelle ausnutzte, die „einfach“ das Zurücksetzen von Passwörtern für jedes Konto ermöglichte.

Das Tool ist für US-Händler gedacht, die Honda-Produkte wie Stromgeneratoren, Rasenmäher und Außenbordmotoren verkaufen. Das Problem schien Hondas Automobilgeschäft in keiner Weise zu beeinträchtigen, aber Zveare sagte, diejenigen, die andere Honda-Produkte online kauften, seien möglicherweise gefährdet.

Honda bestätigte die Sicherheitslücke gegenüber Zveare im April und teilte Recorded Future News mit, dass Honda, sobald es auf das Problem aufmerksam gemacht wurde, „den Zugriff auf die Standorte schnell isolierte, anschließend die Sicherheitsmaßnahmen der Standorte aktualisierte“ und sie schließlich wieder in Betrieb nahm.

„Zum jetzigen Zeitpunkt ist Honda weder bekannt, dass diese Sicherheitslücke genutzt wird, um auf die auf den Websites gespeicherten vertraulichen Verbraucher- oder Händlerinformationen zuzugreifen, noch, dass böswillige Aktivitäten begangen wurden“, sagte der Sprecher.

„Obwohl wir die Befürchtungen, die diese Situation bei unseren Kunden oder Händlern hervorrufen könnte, aufrichtig bedauern, freuen wir uns über die Benachrichtigung des Forschers, die es uns ermöglichte, schnell Maßnahmen zur Lösung des Problems zu ergreifen.“

Zveare sagte, die Sicherheitslücke habe ihm den Zugriff auf alle Daten auf der Plattform ermöglicht, selbst wenn er sich über ein Testkonto angemeldet habe. Mit seinem Zugang konnte er von August 2016 bis März 2023 21.393 Kundenbestellungen händlerübergreifend einsehen – inklusive Kundennamen, Adressen, Telefonnummern und bestellten Artikeln.

Außerdem konnte er auf Informationen von 1.570 Händler-Websites zugreifen und jede dieser Websites ändern. Die Sicherheitslücke gab ihm die Möglichkeit, alle 3.588 Händlerkonten einzusehen und die Passwörter für jeden Benutzer zu ändern. Er sah mehr als 1.000 Händler-E-Mails und über 11.000 Kunden-E-Mails.

Zveare bemerkte, dass er möglicherweise auf die privaten Schlüssel von Stripe, PayPal und Authorize.net der Händler zugreifen konnte, die sie auf die Plattform gestellt hatten.

Er wurde inspiriert, die Plattform zu testen, nachdem er im Februar für Aufsehen gesorgt hatte, als er im Oktober 2022 die volle Kontrolle über eine Toyota-Web-App namens Global Supplier Prepared Information Management System (GSPIMS) erlangte. Diese Plattform wird zur Koordinierung von Projekten, Teilen, Umfragen usw. verwendet. Einkäufe und mehr.

„Nachdem ich Ende letzten Jahres einige Male erfolgreich in die Systeme von Toyota eingedrungen war, wollte ich es mit einem neuen Ziel eines Autoherstellers versuchen. Warum Honda? Ein guter Freund meiner Familie liebt Honda-Fahrzeuge, also dachte ich, wenn ich eine interessante Sicherheitslücke finden würde, würde ich das tun.“ sorgen für ein unterhaltsames Gesprächsthema“, sagte er.

Honda verfügt seit 2016 über die E-Commerce-Plattform Honda Dealer Sites und ermöglicht Händlern die einfache Erstellung einer Website oder Storefront für den Verkauf von Honda-Produkten.

Zveare fand einen Zugang zur Website über eine andere verbundene Plattform namens Power Equipment Tech Express (PETE). Er entdeckte, dass der Missbrauch des Passwort-Reset-Mechanismus auf PETE auch für Konten auf der Hauptplattform funktionieren würde.

Er befürchtete, einen echten Benutzer aus seinem Konto auszuschließen, und nutzte daher ein Beispielkonto, das in einem YouTube-Webinar für Honda-Händler verwendet wurde. Von dort aus brauchte er nur noch eine E-Mail-Adresse, um reinzukommen.

„Die Schwachstelle beim Zurücksetzen des Passworts war erheblich und jetzt wusste ich, dass ich, wenn ich die E-Mail-Adresse eines echten Händlers finden würde, leicht Zugriff auf sein Konto erhalten könnte. Das würde jedoch potenziell störend für sein Geschäft sein, also habe ich das vermieden und stattdessen versucht, es zu finden.“ ein weiterer, weniger störender Exploit“, erklärte er.

Anschließend verschaffte er sich Zugang zu großen Datenmengen, indem er herausfand, dass allen Konten fortlaufende Nummern zugewiesen waren. Um sich das Konto eines anderen Händlers anzusehen, musste lediglich die URL um eine Ziffer geändert werden.

Zveare sagte im Grunde genommen, dass ein Hacker leicht alle Kundendaten und Händlerinformationen hätte durchsickern lassen können. Aber raffiniertere, finanziell motivierte Hacker hätten ihren Zugriff ausnutzen können, um gezielte Phishing-Kampagnen bei Kunden zu starten, um wertvollere Informationen zu stehlen oder Malware zu installieren.

Er bemerkte, dass Honda, nachdem er das Problem im März gemeldet hatte, das gesamte Netzwerk der Websites abgeschaltet und ihm bestätigt habe, dass sie ihre Untersuchung am 3. April abgeschlossen hätten.

Honda hatte im vergangenen Jahr mit mehreren Sicherheitslücken zu kämpfen, darunter mehrere, die es Hackern ermöglichten, Civics und andere Modelle freizuschalten. Andere Forscher haben Möglichkeiten für Hacker entdeckt, auch Honda-Fahrzeuge aus der Ferne zu übernehmen.

Jonathan Greig ist Breaking News Reporter bei Recorded Future News. Jonathan ist seit 2014 weltweit als Journalist tätig. Bevor er nach New York City zurückkehrte, arbeitete er für Nachrichtenagenturen in Südafrika, Jordanien und Kambodscha. Zuvor befasste er sich mit Cybersicherheit bei ZDNet und TechRepublic.