Honda corrige un error detectado por un investigador en la plataforma para distribuidores de equipos de EE. UU.

Jun 06, 2023

Honda dijo que solucionó una vulnerabilidad que podría haber permitido que cualquiera se hiciera cargo de las cuentas en una plataforma utilizada por los distribuidores de Honda Power Equipment y Honda Marine en los Estados Unidos.

Esta semana, el experto en seguridad cibernética Eaton Zveare explicó cómo pudo comprometer la plataforma al explotar una falla que permitía "fácilmente" restablecer la contraseña de cualquier cuenta.

La herramienta es para distribuidores estadounidenses que venden productos Honda como generadores de energía, cortadoras de césped y motores fuera de borda. El problema no pareció afectar el negocio de automóviles de Honda de ninguna manera, pero Zveare dijo que aquellos que compraron otros productos de Honda en línea podrían haber estado en riesgo.

Honda confirmó la vulnerabilidad con Zveare en abril y le dijo a Recorded Future News que una vez que se enteró del problema, "aisló rápidamente el acceso a los sitios, posteriormente actualizó las medidas de seguridad de los sitios" y finalmente los volvió a poner en servicio.

"En este momento, Honda no tiene conocimiento de ningún uso de esta vulnerabilidad para acceder a información confidencial de consumidores o distribuidores almacenada en los sitios ni de ninguna actividad maliciosa", dijo el portavoz.

"Si bien lamentamos sinceramente cualquier aprensión que esta situación pueda causar a nuestros clientes o distribuidores, agradecemos recibir un aviso del investigador, que nos permitió tomar medidas rápidas para resolver el problema".

Zveare dijo que la vulnerabilidad le permitió acceder a todos los datos en la plataforma, incluso cuando inició sesión desde una cuenta de prueba. Con su acceso, pudo ver 21 393 pedidos de clientes en todos los distribuidores desde agosto de 2016 hasta marzo de 2023, incluidos los nombres de los clientes, las direcciones, los números de teléfono y los artículos pedidos.

También pudo acceder a información de 1570 sitios web de distribuidores y modificar cualquiera de los sitios. La vulnerabilidad le dio la capacidad de ver las 3588 cuentas de distribuidores y cambiar las contraseñas de cualquier usuario. Vio más de 1000 correos electrónicos de distribuidores y más de 11 000 correos electrónicos de clientes.

Zveare señaló que es posible que haya podido acceder a las claves privadas de Stripe, PayPal y Authorize.net de los distribuidores que las pusieron en la plataforma.

Se inspiró para probar la plataforma después de que causó sensación en febrero al obtener el control total de una aplicación web de Toyota llamada Sistema de gestión de información de preparación de proveedores global (GSPIMS), en octubre de 2022. Esa plataforma se utiliza para coordinar proyectos, piezas, encuestas, compras y mas.

"Después de violar con éxito los sistemas de Toyota varias veces a fines del año pasado, quería probar suerte con un nuevo objetivo de fabricante de automóviles. ¿Por qué Honda? A un buen amigo de la familia le encantan los vehículos Honda, así que pensé que si encontraba una vulnerabilidad interesante, sería ser un tema de conversación divertido", dijo.

Honda ha tenido la plataforma de comercio electrónico Honda Dealer Sites desde 2016 y permite a los concesionarios crear fácilmente un sitio web o una tienda para vender productos Honda.

Zveare encontró una forma de ingresar al sitio a través de otra plataforma conectada llamada Power Equipment Tech Express (PETE). Descubrió que abusar del mecanismo de restablecimiento de contraseña en PETE también funcionaría para cuentas en la plataforma principal.

Le preocupaba bloquear la cuenta de un usuario real, por lo que utilizó una cuenta de muestra utilizada en un seminario web de YouTube para concesionarios Honda. A partir de ahí, todo lo que necesitaba era una dirección de correo electrónico para entrar.

"La vulnerabilidad de restablecimiento de contraseña era significativa y ahora sabía que si encontraba un correo electrónico real de un distribuidor, podría acceder fácilmente a su cuenta. Sin embargo, eso sería potencialmente perjudicial para su negocio, así que evité hacerlo y en su lugar traté de encontrar otro exploit menos perturbador", explicó.

Luego obtuvo acceso a grandes cantidades de datos al darse cuenta de que todas las cuentas tenían números secuenciales asignados. Mirar la cuenta de un distribuidor diferente era simplemente una cuestión de cambiar la URL por un dígito.

Zveare dijo que, en el nivel más básico, un pirata informático podría haber filtrado fácilmente todos los datos de los clientes y la información del distribuidor. Pero los piratas informáticos más sofisticados y motivados financieramente podrían haber explotado su acceso para lanzar campañas de phishing dirigidas a los clientes en un esfuerzo por robar información más valiosa o instalar malware.

Señaló que después de informar el problema a Honda en marzo, desmantelaron toda la red de sitios web y le confirmaron que completaron su investigación el 3 de abril.

Honda tuvo que lidiar con varias vulnerabilidades en el último año, incluidas varias que permitieron a los piratas informáticos desbloquear Civics y otros modelos. Otros investigadores también han descubierto formas en que los piratas informáticos pueden controlar de forma remota los vehículos Honda.

Jonathan Greig es reportero de noticias de última hora en Recorded Future News. Jonathan ha trabajado en todo el mundo como periodista desde 2014. Antes de regresar a la ciudad de Nueva York, trabajó para medios de comunicación en Sudáfrica, Jordania y Camboya. Anteriormente cubrió la seguridad cibernética en ZDNet y TechRepublic.