Honda corrige bug detectado por pesquisador em plataforma para concessionárias de equipamentos nos EUA

Jun 06, 2023

A Honda disse que corrigiu uma vulnerabilidade que poderia permitir que qualquer pessoa assumisse contas em uma plataforma usada pelos revendedores Honda Power Equipment e Honda Marine nos Estados Unidos.

Esta semana, o especialista em segurança cibernética Eaton Zveare explicou como conseguiu comprometer a plataforma explorando uma falha que "facilmente" permitia a redefinição de senha de qualquer conta.

A ferramenta é para revendedores americanos que vendem produtos Honda como geradores de energia, cortadores de grama e motores de popa. O problema não pareceu afetar os negócios automotivos da Honda de forma alguma, mas Zveare disse que aqueles que compraram outros produtos Honda online podem estar em risco.

A Honda confirmou a vulnerabilidade com Zveare em abril e disse ao Recorded Future News que, assim que tomou conhecimento do problema, "isolou rapidamente o acesso aos sites, posteriormente atualizou as medidas de segurança dos sites" e, eventualmente, os devolveu ao serviço.

“Neste momento, a Honda não está ciente de qualquer uso dessa vulnerabilidade para acessar informações confidenciais de consumidores ou revendedores armazenadas nos sites ou de qualquer atividade maliciosa”, disse o porta-voz.

"Embora lamentemos sinceramente qualquer apreensão que esta situação possa causar aos nossos clientes ou revendedores, agradecemos o recebimento do aviso do pesquisador, o que nos permitiu tomar medidas rápidas para resolver o problema."

Zveare disse que a vulnerabilidade permitia que ele acessasse todos os dados da plataforma, mesmo quando ele fazia login em uma conta de teste. Com seu acesso, ele conseguiu ver 21.393 pedidos de clientes em todos os revendedores de agosto de 2016 a março de 2023 – incluindo nomes de clientes, endereços, números de telefone e itens pedidos.

Ele também conseguiu acessar informações de 1.570 sites de revendedores e modificar qualquer um dos sites. A vulnerabilidade deu a ele a capacidade de ver todas as 3.588 contas de revendedores e alterar as senhas de qualquer usuário. Ele viu mais de 1.000 e-mails de revendedores e mais de 11.000 e-mails de clientes.

Zveare observou que ele pode ter conseguido acessar as chaves privadas Stripe, PayPal e Authorize.net dos revendedores que as colocaram na plataforma.

Ele se inspirou para testar a plataforma depois de ter feito barulho em fevereiro por obter o controle total de um aplicativo da web da Toyota chamado Sistema Global de Gerenciamento de Informações de Preparação de Fornecedores (GSPIMS), em outubro de 2022. Essa plataforma é usada para coordenar projetos, peças, pesquisas, compras e muito mais.

"Depois de violar com sucesso os sistemas da Toyota algumas vezes no final do ano passado, eu queria tentar uma nova meta de montadora. Por que a Honda? criar um tópico de conversa divertido", disse ele.

A Honda possui a plataforma de comércio eletrônico Honda Dealer Sites desde 2016 e permite que os revendedores criem facilmente um site ou loja para vender produtos Honda.

Zveare encontrou uma maneira de entrar no site por meio de outra plataforma conectada chamada Power Equipment Tech Express (PETE). Ele descobriu que abusar do mecanismo de redefinição de senha no PETE também funcionaria para contas na plataforma principal.

Ele estava preocupado em bloquear um usuário real fora de sua conta, então ele usou uma conta de amostra usada em um webinar do YouTube para concessionárias Honda. A partir daí, tudo o que ele precisava era de um endereço de e-mail para entrar.

"A vulnerabilidade de redefinição de senha era significativa e agora eu sabia que, se encontrasse um e-mail de revendedor real, poderia facilmente obter acesso à conta deles. No entanto, isso poderia prejudicar seus negócios, então evitei fazer isso e, em vez disso, tentei encontrar outro exploit menos perturbador", explicou.

Ele então obteve acesso a grandes quantidades de dados ao descobrir que todas as contas tinham números sequenciais atribuídos a elas. Olhar para a conta de um revendedor diferente era simplesmente uma questão de alterar o URL em um dígito.

Zveare disse que, no nível mais básico, um hacker poderia facilmente vazar todos os dados do cliente e informações do revendedor. Mas hackers mais sofisticados e motivados financeiramente poderiam ter explorado seu acesso para lançar campanhas de phishing direcionadas a clientes em um esforço para roubar informações mais valiosas ou instalar malware.