Berpotensi Diretas! Data Dealer Di Platform E-Commerce Honda Beresiko Akan Bocor
Kerentanan pada platform e-commerce Honda yang ditemukan beresiko dapat dieksploitasi untuk mendapatkan akses tak terbatas ke informasi dealer yang sensitif. “Kontrol akses yang rusak/hilang memungkinkan akses ke semua data di platform, bahkan saat masuk dengan akun pengujian,” kata peneliti keamanan Eaton Zveare dalam laporan yang diterbitkan minggu lalu.|
Baca Juga : Malware Vidar Targetkan Pelaku Marketplace, Berikut Langkah-Langkah Menghindarinya
Dikutip dari The Hacker News, singkatnya peretasan ini mengeksploitasi mekanisme pemulihan kata sandi di salah satu situs web Honda, Power Equipment Tech Express (PETE), untuk mengatur ulang kata sandi akun apa pun dan mendapatkan akses tingkat administrator penuh. “Hal ini terjadi mungkin karena API (Application Programming Interface) memungkinkan setiap pengguna mengirim permintaan kata sandi jika mereka hanya mengetahui nama pengguna atau alamat email dan tanpa Anda harus memberikan kata sandi yang terkait dengan akun untuk masuk,” tulis The Hacker News.
Kemampuan peretasan seperti ini ini memungkinkan penyerang masuk dan membajak akun lain lalu mengeksploitasi sifat cascading dari URL situs dealer (seperti, “admin.pedealer.honda[.]com/dealersite//dashboard ) untuk mendapatkan akses tidak sah Memberikan akses ke panel admin dealer lain.
“Hanya menambahkan ID ini memberi saya akses ke setiap informasi dealer,” jelas Zveare. “Kode JavaScript yang mendasari mengambil token ini dan menggunakannya dalam panggilan API untuk mendapatkan data dan menampilkannya di halaman. Untungnya, penemuan ini menghilangkan kebutuhan untuk mengubah kata sandi.” Tambahnya.
Lebih buruk lagi, cacat desain dapat digunakan untuk mendapatkan akses ke pelanggan dealer, memodifikasi situs web dan produk mereka, dan lebih buruk lagi memberi mereka hak administratif di seluruh platform (kemampuan yang hanya diperuntukkan bagi karyawan Honda). Secara keseluruhan, kerentanan memungkinkan akses tidak sah ke 21.393 pesanan pelanggan dari semua dealer dari Agustus 2016 hingga Maret 2023, 1.570 situs web dealer (1.091 di antaranya aktif), 3.588 akun dealer, 1.090 email dealer, dan 11.034 email pelanggan.
Baca Juga : Ransomware WannaCry Ancaman Siber Terbesar yang Pernah Mengguncang Dunia
Pelaku ancaman juga dapat mengeksploitasi akses ke situs dealer ini dengan memasang skimmer atau kode penambangan kripto, sehingga menghasilkan keuntungan ilegal. Perusahaan Honda telah menambal kerentanan pada 16 Maret 2023 setelah kerentanan diungkapkan pada 3 April 2023. Pengungkapan itu datang berbulan-bulan setelah Zveare merinci masalah keamanan dengan Sistem Manajemen Informasi Persiapan Pemasok Global Toyota (GSPIMS) dan CRM C360 yang dapat dimanfaatkan untuk mendapatkan data perusahaan dan pelanggan dalam jumlah besar.
