300/66 (IT) ประจำวันอังคารที่ 13 มิถุนายน 2566
ช่องโหว่ที่พบในแพลตฟอร์ม E-Commerce ของ Honda อาจถูกนำไปใช้เพื่อเข้าถึงข้อมูลสำคัญของตัวแทนจำหน่ายได้ โดยนักวิจัย Eaton Zveare กล่าวในรายงานที่ได้ตีพิมพ์ออกไปเมื่อสัปดาห์ที่แล้วว่า ระบบการควบคุมการเข้าถึงเสียหายทำให้สามารถเข้าถึงข้อมูลทั้งหมดบนแพลตฟอร์มได้
การใช้ประโยชน์จากการรีเซ็ตรหัสผ่านในเว็บไซต์ Power Equipment Tech Express (PETE) ของ Honda เพื่อรีเซ็ตรหัสผ่านที่เชื่อมโยงกับบัญชีใด ๆ และทำให้ได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบแบบเต็มรูปแบบ ซึ่งเหตุการณ์นี้อาจเกิดขึ้นได้เนื่องจาก API อนุญาตให้ผู้ใช้ส่งคำขอ รีเซ็ตรหัสผ่านได้ง่าย ๆ เพียงแค่ทราบชื่อผู้ใช้หรือที่อยู่อีเมล และไม่ต้องป้อนรหัสผ่านที่เชื่อมโยงกับบัญชีนั้น ด้วยความสามารถนี้ ทำให้ผู้ประสงค์ร้ายสามารถลงชื่อเข้าใช้บัญชีอื่น และใช้ประโยชน์จากลักษณะที่ต่อเนื่องกันของ URL ของเว็บไซต์ตัวแทนจำหน่าย (เช่น”admin.pedaler.honda[.]com/dealersite/<ID>/dashboard ) เพื่อเข้าถึงแดชบอร์ดผู้ดูแลระบบของตัวแทนจำหน่ายรายอื่นโดยไม่ได้รับอนุญาต
โดยช่องโหว่ดังกล่าวอาจถูกใช้เพื่อเข้าถึงข้อมูลลูกค้าของตัวแทนจำหน่าย แก้ไขเว็บไซต์และผลิตภัณฑ์ และที่ร้ายแรงคือ การยกระดับสิทธิ์ให้กับผู้ดูแลระบบของแพลตฟอร์มทั้งหมด ซึ่งเป็นคุณสมบัติที่จำกัดเฉพาะพนักงานของ Honda เท่านั้น ซึ่งจุดอ่อนช่องโหว่สามารถเข้าถึงคำสั่งซื้อของลูกค้าจำนวน 21,393 รายการได้โดยมิชอบจากตัวแทนจำหน่ายทั้งหมดตั้งแต่เดือนสิงหาคม 2559 ถึงมีนาคม 2566 เว็บไซต์ตัวแทนจำหน่าย 1,570 แห่ง (ซึ่ง 1,091 แห่งเปิดใช้งานอยู่) บัญชีตัวแทนจำหน่าย 3,588 บัญชี อีเมลตัวแทนจำหน่าย 1,090 ฉบับ และอีเมลลูกค้า 11,034 ฉบับ จากการการเปิดเผยช่องโหว่ดังกล่าวเมื่อวันที่ 16 มีนาคม 2566 และได้รับการแก้ไขโดย Honda ณ วันที่ 3 เมษายน 2566
แหล่งข่าว ( https://thehackernews.com/2023/06/password-reset-hack-exposed-in-hondas-e.html )