Cyberthreat.id - Platform e-commerce Honda untuk peralatan listrik, kelautan, rumput & taman, rentan terhadap akses tidak sah oleh siapa pun. Penyebabnya adalah kelemahan API (Application Programming Interface) Honda yang memungkinkan penyetelan ulang kata sandi untuk akun apa pun.

Honda adalah produsen mobil, sepeda motor, dan peralatan listrik Jepang. Dalam hal ini, hanya divisi terakhir yang terpengaruh, sehingga pemilik mobil atau sepeda motor Honda tidak terpengaruh.

BleepingComputer melaporkan bahwa celah keamanan dalam sistem Honda ditemukan oleh peneliti keamanan Eaton Zveare, orang yang sama yang melanggar portal pemasok Toyota beberapa bulan lalu, memanfaatkan kerentanan serupa.

Untuk Honda, Eaton Works mengeksploitasi API pengaturan ulang kata sandi untuk mengatur ulang kata sandi akun berharga dan kemudian menikmati akses data tingkat admin yang tidak terbatas di jaringan perusahaan.

"Kontrol akses yang rusak/hilang memungkinkan untuk mengakses semua data di platform, bahkan saat login sebagai akun pengujian," jelas peneliti sebagaimana dikutip BleepingComputer.

Akibatnya, informasi berikut terungkap ke peneliti keamanan dan mungkin kepada pelaku ancaman yang memanfaatkan kerentanan yang sama:

• 21.393 pesanan pelanggan di seluruh dealer dari Agustus 2016 hingga Maret 2023 – ini termasuk nama pelanggan, alamat, nomor telepon, dan item yang dipesan.
• 1.570 situs web dealer (1.091 di antaranya aktif). Dimungkinkan untuk memodifikasi salah satu situs ini.
• 3.588 pengguna/akun dealer (termasuk nama depan & belakang, alamat email). Dimungkinkan untuk mengubah kata sandi dari salah satu pengguna ini.
• 1.090 email dealer (termasuk nama depan & belakang).
• 11.034 email pelanggan (termasuk nama depan & belakang).
• Berpotensi: Kunci pribadi Stripe, PayPal, dan Authorize.net untuk dealer yang menyediakannya.
• Laporan keuangan internal.

Data di atas dapat digunakan untuk meluncurkan kampanye phishing, serangan rekayasa sosial, atau dijual di forum peretas dan pasar web gelap. Selain itu, memiliki akses ke situs dealer, penyerang dapat menanam skimmer kartu kredit atau potongan JavaScript berbahaya lainnya.

Mengakses panel admin

Zveare menjelaskan bahwa kelemahan API terletak pada platform e-commerce Honda, yang memberikan subdomain "powerdealer.honda.com" ke reseller/dealer terdaftar.

Peneliti menemukan bahwa API reset password di salah satu situs Honda, Power Equipment Tech Express (PETE), memproses permintaan reset tanpa token atau password sebelumnya, hanya membutuhkan email yang valid.

Meskipun kerentanan ini tidak ada di portal masuk subdomain e-niaga, kredensial yang dialihkan melalui situs PETE akan tetap berfungsi, sehingga siapa pun dapat mengakses data dealer internal melalui serangan sederhana ini.

Satu-satunya bagian yang hilang adalah memiliki alamat email yang valid milik dealer, yang diperoleh peneliti dari video YouTube yang mendemonstrasikan dasbor dealer menggunakan akun percobaan.

Langkah selanjutnya adalah mengakses informasi dari dealer nyata selain akun percobaan. Namun, lebih baik melakukannya tanpa mengganggu operasi mereka dan tanpa harus menyetel ulang kata sandi dari ratusan akun.

Solusi yang ditemukan peneliti adalah memanfaatkan kerentanan kedua, yaitu penugasan berurutan ID pengguna di platform dan kurangnya perlindungan akses.

Hal ini memungkinkan untuk mengakses panel data semua dealer Honda secara sewenang-wenang dengan menambahkan satu ID pengguna hingga tidak ada hasil lainnya.

"Hanya dengan menambah ID itu, saya bisa mendapatkan akses ke data setiap dealer. Kode JavaScript yang mendasari mengambil ID itu dan menggunakannya dalam panggilan API untuk mengambil data dan menampilkannya di halaman. Untungnya, penemuan ini membuat kebutuhan untuk menyetel ulang kata sandi lagi diperdebatkan ." kata Zvaere.

Perlu dicatat bahwa kelemahan di atas dapat dimanfaatkan oleh dealer terdaftar Honda untuk mengakses panel dealer lain, dan selanjutnya, pesanan mereka, detail pelanggan, dll.

Langkah terakhir dari serangan itu adalah mengakses panel admin Honda, yang merupakan pusat kendali platform e-commerce perusahaan.

Peneliti mengaksesnya dengan memodifikasi respons HTTP agar terlihat seperti dia adalah seorang admin, memberinya akses tak terbatas ke platform Situs Dealer Honda.

Hal di atas dilaporkan ke Honda pada 16 Maret 2023, dan pada 3 April 2023, perusahaan Jepang tersebut mengonfirmasi bahwa semua masalah telah diperbaiki.

Tidak memiliki program hadiah bug, Honda tidak memberi penghargaan kepada Zveare atas pelaporannya yang bertanggung jawab, yang merupakan hasil yang sama seperti dalam kasus Toyota.[]