El fabricante nipón de automóviles, motocicletas y equipos eléctricos, marinos y de jardín Honda ha estado exponiendo información sensible en su plataforma de comercio electrónico.
Debido a fallas en la API (interfaz de programación de aplicaciones) que permiten restablecer la contraseña de cualquier cuenta, cualquier persona podía acceder al portal de manera no autorizada, según recoge la web Bleeping Computer.
Esta brecha de seguridad en la página del fabricante fue descubierta por el investigador de seguridad Eaton Zveare, quien también encontró hace unos meses problemas en el portal de proveedores de Toyota, aprovechando vulnerabilidades similares. Estos habían durado una década completa.
En el caso de Honda el investigador explotó la citada API de restablecimiento de contraseña para apoderarse de cuentas valiosos y, posteriormente, disfrutar de acceso a datos de nivel administrador sin restricciones en la red de la empresa japonesa.
Los actores de amenazas, aprovechando esta vulnerabilidad, podían campar a sus anchas por 21.393 pedidos de clientes realizados entre 2016 y 2023 y que incluían nombres, direcciones, números de teléfono y artículos pedidos; 1.570 sitios web de distribuidores con casi 1.100 activos; 3.588 ususarios/cuentas de distribuidores (incluyendo nombre y apellido, así como dirección de email), 1.090 emails de distribuidores, 11.034 emails de clientes, informes financieros internos y claves privadas de Stripe, Paypal y Authorize.net para los distribuidores que las proporcionan.
"Los controles de acceso rotos o faltantes permitieron acceder a todos estos datos en la plataforma, incluso cuando se inició sesión como una cuenta de prueba", ha explicado Zveare.
Una manera de dinamitar a la competencia
Toda esta información citada da a los cibermalos les pone muy fácil realizar ataques de phishing y de ingeniería social, así como la posibilidad de sacar tajada vendiendo los datos en foros de piratas o en la dark web.
Sin embargo, no son los únicos que podrían aprovecharse de la brecha. La falla también podría haber sido usada por los concesionarios registrados de Honda para acceder a los paneles de otros concesionarios y, por extensión, a sus pedidos, detalles de clientes, etc.
Honda fue avisada de la brecha de seguridad a mediados de marzo y ha confirmado que ya ha solucionado todos estos problemas. Como la marca no dispone de un programa de recompensas por errores, el investigador solo puede conformarse con que la marca nipona le diera las gracias.