Peretasan Platform E-Commerce Honda, Data Dealer Berisiko

Cyberthreat - Kerentanan keamanan yang ditemukan di platform e-commerce Honda dapat dieksploitasi untuk mendapatkan akses tak terbatas ke informasi dealer yang sensitif. "Kontrol akses yang rusak/hilang memungkinkan mengakses semua data di platform, bahkan ketika masuk sebagai akun percobaan," kata peneliti keamanan Eaton Zveare dalam laporan yang diterbitkan minggu lalu sebagaimana dikutip The Hacker News.

Platform ini dirancang untuk penjualan peralatan listrik, bisnis kelautan, rumput, dan taman. Itu tidak berdampak pada divisi mobil perusahaan Jepang. Peretasan, singkatnya, mengeksploitasi mekanisme pengaturan ulang kata sandi di salah satu situs Honda, Power Equipment Tech Express (PETE), untuk mengatur ulang kata sandi yang terkait dengan akun apa pun dan mendapatkan akses tingkat admin penuh.

“Ini dimungkinkan karena fakta bahwa API (Application Programming Interface) memungkinkan setiap pengguna untuk mengirim permintaan pengaturan ulang kata sandi hanya dengan mengetahui nama pengguna atau alamat email dan tanpa harus memasukkan kata sandi yang terkait dengan akun itu,” tulis The Hacker News.

Berbekal kemampuan ini, pelaku jahat dapat masuk dan mengambil alih akun lain, dan selanjutnya memanfaatkan sifat berurutan dari URL situs dealer (yaitu, "admin.pedealer.honda[.]com/dealersite/<ID>/dashboard ) untuk mendapatkan akses tidak sah ke dasbor admin dealer lain.

"Hanya dengan menambah ID itu, saya bisa mendapatkan akses ke data setiap dealer," jelas Zveare. "Kode JavaScript yang mendasarinya mengambil ID itu dan menggunakannya dalam panggilan API untuk mengambil data dan menampilkannya di halaman. Untungnya, penemuan ini membuat kebutuhan untuk menyetel ulang kata sandi masih bisa diperdebatkan."

Lebih buruk lagi, cacat desain dapat digunakan untuk mengakses pelanggan dealer, mengedit situs web dan produk mereka, dan lebih buruk lagi, memberikan hak istimewa kepada administrator seluruh platform – sebuah fitur yang dibatasi untuk karyawan Honda – dengan cara yang dibuat khusus. permintaan untuk melihat detail jaringan dealer.

Secara keseluruhan, kelemahan memungkinkan akses tidak sah ke 21.393 pesanan pelanggan di semua dealer dari Agustus 2016 hingga Maret 2023 1.570 situs web dealer (1.091 di antaranya aktif), 3.588 akun dealer, 1.090 email dealer, dan 11.034 email pelanggan.

Pelaku ancaman juga dapat memanfaatkan akses ke situs web dealer ini dengan memasang skimmer atau kode penambangan mata uang kripto, sehingga memungkinkan mereka untuk meraup keuntungan ilegal.

Kerentanan, setelah pengungkapan yang bertanggung jawab pada 16 Maret 2023, telah ditangani oleh Honda pada 3 April 2023.
Pengungkapan tersebut muncul beberapa bulan setelah Zveare merinci masalah keamanan dalam Sistem Manajemen Informasi Persiapan Pemasok Global Toyota (GSPIMS) dan CRM C360 yang dapat dimanfaatkan untuk mengakses banyak data perusahaan dan pelanggan.[]