Vulnerabilidades en la API de Honda expusieron datos de clientes y documentos internos
La plataforma de comercio electrónico de Honda para equipos eléctricos, marinos, de césped y jardín era vulnerable al acceso no autorizado por parte de cualquier persona debido a vulnerabilidades en la API. Las vulnerabilidades permitieron restablecer la contraseña de cualquier cuenta.
Honda es un fabricante japonés de automóviles, motocicletas y equipos eléctricos. En este caso, solo la última división se vió afectada, por lo que los propietarios de automóviles o motocicletas Honda no fueron afectados.
La brecha de seguridad en los sistemas de Honda fue descubierta por el investigador de seguridad Eaton Zveare. Zveare es el mismo investigador que vulneró el portal de proveedores de Toyota hace unos meses, aprovechando vulnerabilidades similares.
Para Honda, Eaton Works explotó una API de restablecimiento de contraseñas para restablecer la contraseña de cuentas valiosas y luego disfrutar de acceso a datos de nivel de administrador sin restricciones en la red de la empresa.
“Los controles de acceso dañados o faltantes permitieron acceder a todos los datos en la plataforma, incluso cuando se inició sesión como una cuenta de prueba”.
Explicación del investigador
Información expuesta
Como resultado, la siguiente información estuvo expuesta al investigador de seguridad y posiblemente a los atacantes que aprovecharon la misma vulnerabilidad:
- 21,393 pedidos de clientes en todos los distribuidores desde agosto de 2016 hasta marzo de 2023; esto incluye el nombre del cliente, la dirección, el número de teléfono y los artículos pedidos.
- 1,570 sitios web de distribuidores (1,091 de ellos están activos). Era posible modificar cualquiera de estos sitios.
- 3588 usuarios/cuentas de distribuidores (incluye nombres y apellidos, dirección de correo electrónico). Era posible cambiar la contraseña de cualquiera de estos usuarios.
- 1090 correos electrónicos de distribuidores (incluye nombres y apellidos).
- 11,034 correos electrónicos de clientes (incluye nombre y apellido).
- Potencialmente: claves privadas de Stripe, PayPal y Authorize.net para los distribuidores que las proporcionaron.
- Informes financieros internos.
Los datos anteriores podrían usarse para lanzar campañas de phishing, ataques de ingeniería social o venderse en foros de hackers y mercados de la web oscura.
Además, al tener acceso a los sitios de los distribuidores, los atacantes podrían plantar skimmers de tarjetas de crédito u otros fragmentos de JavaScript maliciosos.
Acceder a los paneles de administración
Zveare explica que la vulnerabilidad de la API se encuentra en la plataforma de comercio electrónico de Honda. Esta plataforma asigna subdominios “powerdealer.honda.com
” a revendedores/concesionarios registrados.
El investigador descubrió que la API de restablecimiento de contraseña en uno de los sitios de Honda, Power Equipment Tech Express (PETE), procesó las solicitudes de restablecimiento sin un token o la contraseña anterior, solo requiriendo un correo electrónico válido.
Si bien esta vulnerabilidad no está presente en el portal de inicio de sesión de subdominios de comercio electrónico, las credenciales cambiadas a través del sitio de PETE seguirán funcionando en ellos. En otras palabras, cualquiera puede acceder a los datos internos del concesionario a través de este simple ataque.
La única pieza que falta es tener una dirección de correo electrónico válida que pertenezca a un distribuidor, que el investigador obtuvo de un video de YouTube que mostraba el tablero del distribuidor usando una cuenta de prueba.
El siguiente paso fue acceder a información de distribuidores reales además de la cuenta de prueba. Sin embargo, sería preferible hacerlo sin interrumpir su funcionamiento y sin tener que restablecer las contraseñas de cientos de cuentas.
La solución que encontró el investigador fue aprovechar una segunda vulnerabilidad, que es la asignación secuencial de ID de usuario en la plataforma y la falta de protecciones de acceso.
Esto hizo posible acceder a los paneles de datos de todos los concesionarios Honda arbitrariamente incrementando el ID de usuario en uno hasta que no hubo más resultados.
Aprovechando la vulnerabilidad
“Con solo incrementar ese ID, pude obtener acceso a los datos de todos los distribuidores. El código JavaScript subyacente toma esa identificación y la usa en llamadas API para obtener datos y mostrarlos en la página. Afortunadamente, este descubrimiento hizo que la necesidad de restablecer más contraseñas fuera discutible.”
Zvaere
Vale la pena señalar que la vulnerabilidad anterior podría haber sido aprovechada por los concesionarios registrados de Honda para acceder a los paneles de otros concesionarios. Y, por ende, a sus pedidos, detalles de clientes, etc.
El paso final del ataque fue acceder al panel de administración de Honda, que es el punto de control central de la plataforma de comercio electrónico de la empresa.
El investigador accedió modificando una respuesta HTTP para que pareciera que era un administrador, lo que le dio acceso ilimitado a la plataforma de sitios de concesionarios de Honda.
Lo anterior fue informado a Honda el 16 de marzo de 2023 y para el 3 de abril de 2023, la firma japonesa confirmó que todos los problemas habían sido solucionados.
Al no tener un programa de recompensas por errores, Honda no recompensó a Zveare por su informe responsable. Lo mismo le ocurrió en el caso de Toyota.