![Honda’nın E-Ticaret Platformunda Parola Sıfırlama Hack’i Ortaya Çıktı, Bayi Verileri Risk Altında](https://kilalu.blog/news/2024-07-31-13:16/Honda’nın E-Ticaret Platformunda Parola Sıfırlama Hack’i Ortaya Çıktı, Bayi Verileri Risk Altında.jpg)
12 Haziran 2023Ravie LakshmananVeri Güvenliği / Hacking
Honda’nın e-ticaret platformunda keşfedilen güvenlik açıkları, hassas bayi bilgilerine sınırsız erişim elde etmek için kullanılmış olabilir.
Güvenlik araştırmacısı Eaton Zveare, “Kırık/eksik erişim kontrolleri, test hesabı olarak oturum açıldığında bile platformdaki tüm verilere erişmeyi mümkün kıldı.” söz konusu geçen hafta yayınlanan bir raporda.
bu platform güç ekipmanları, marin, çim ve bahçe işletmelerinin satışı için tasarlanmıştır. Japon şirketin otomobil bölümünü etkilemez.
Özetle hack, herhangi bir hesapla ilişkili parolayı sıfırlamak ve yönetici düzeyinde tam erişim elde etmek için Honda’nın sitelerinden biri olan Power Equipment Tech Express’teki (PETE) bir parola sıfırlama mekanizmasını kullanıyor.
Bu, API’nin herhangi bir kullanıcının yalnızca kullanıcı adını veya e-posta adresini bilerek ve o hesaba bağlı bir parola girmek zorunda kalmadan bir parola sıfırlama isteği göndermesine izin vermesi nedeniyle mümkün olmaktadır.
Bu yeteneğe sahip olan kötü niyetli bir aktör, oturum açıp başka bir hesabı ele geçirebilir ve ardından bayi sitesi URL’lerinin (ör. “admin.pedealer.honda) sıralı yapısından yararlanabilir.[.]com/dealersite/
![Honda E-ticaret Honda E-ticaret](https://teknomerscdn.cloudspecter.com/wp-content/uploads/2023/06/1686626301_585_Hondanin-E-Ticaret-Platformunda-Parola-Sifirlama-Hacki-Ortaya-Cikti-Bayi-Verileri.jpg)
Zveare, “Yalnızca bu kimliği artırarak, her bayinin verilerine erişebilirim,” diye açıkladı. “Temel JavaScript kodu, bu kimliği alır ve verileri getirmek ve sayfada görüntülemek için API çağrılarında kullanır. Neyse ki, bu keşif, daha fazla parola sıfırlama ihtiyacını tartışmalı hale getirdi.”
Daha da kötüsü, tasarım kusuru, bir bayinin müşterilerine erişmek, web sitelerini ve ürünlerini düzenlemek ve daha da kötüsü, özel olarak hazırlanmış bir yazılım aracılığıyla tüm platformun yöneticisine (Honda çalışanları ile sınırlı bir özellik) ayrıcalıklar yükseltmek için kullanılmış olabilir. Bayi ağının detaylarını görmek için istekte bulunun.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
Toplamda, zayıflıklar, Ağustos 2016’dan Mart 2023’e kadar tüm bayilerde 21.393 müşteri siparişine, 1.570 bayi web sitesine (1.091’i aktif), 3.588 bayi hesabına, 1.090 bayi e-postasına ve 11.034 müşteri e-postasına yasa dışı erişime izin verdi.
Tehdit aktörleri ayrıca, skimmer veya kripto para madenciliği kodu yerleştirerek bu satıcı web sitelerine erişimden yararlanabilir ve böylece yasadışı kar elde etmelerine olanak sağlayabilir.
16 Mart 2023’teki sorumlu açıklamanın ardından güvenlik açıkları, 3 Nisan 2023 itibarıyla Honda tarafından giderilmiştir.
Açıklama, Zveare’nin Toyota’nın Küresel Tedarikçi Hazırlama Bilgi Yönetim Sistemindeki ayrıntılı güvenlik sorunlarından aylar sonra geliyor (GSPIMS) Ve C360 CRM’si bu, çok sayıda kurumsal ve müşteri verisine erişmek için kullanılabilirdi.
Popular Articles
- 04 Aug Son Günlerde Gündemde Olan Bekçilerin Maaşlarını ve Geniş Yetkilerini Mizahları ile Eleştirmiş 15 Kişi
- 22 Jul Neler Oluyor Hayatta Neden Yayınlanmadı? Neler Oluyor Hayatta Bu Hafta Yok mu? Kanal D Yayın Akışı?
- 02 Aug Bingölde teröristlerce kullanılan malzemeler ele geçirildi
- 07 Aug Raylarda dehşet anları! Metronun altında kaldı - Son Dakika Haberler
- 01 Aug CHP Cumhurbaşkanı Adayı İnce: Eğitim sistemini bir yıl boyunca tartışacağız
Latest Articles
- 16 Aug Son Dakika iPhone 14 Üretime Geçti: İşte Ortaya Çıkan Detaylar!
- 13 Aug Samsung’un Galaxy Watch 5’i her iki boyutta da 50 $ indirimle satışta
- 14 Jul BMW, Evde Canı Sıkılanlar İçin Bir Dizi Masa Oyunu Yayınladı
- 16 Aug Yunanistan, 80 Yıl Önceki Nazi İşgali İçin Almanyadan 290 Milyar Euro Tazminat İstiyor
- 06 Aug Dünyanın En Güçlü Dilleri Listesi Yayınlandı: Türkçe Kaçıncı Sırada?
Other Articles
- Haluk Koç seçim sonuçlarını değerlendirdi - Haberler
- JP Morgan, Merkez Bankasının Ekimde Faiz Artırmasını Bekliyor
- SpaceX roketi, başarılı bir şekilde fırlatıldı
- Atatürkün Diyarbakıra gelişinin 84üncü yılı, canlandırmayla kutlandı
- ‘Fingernails’ Yönetmeni, Karlovy Vary Festivali’nin Sonuna Doğru “Filmler Büyük Ekrana Aittir” Diyor