פלטפורמת המסחר האלקטרוני של הונדה לציוד חשמלי, ימי וגינון – הייתה חשופה לגישה בלתי מורשית עקב פגמי אבטחה ב- API שאיפשרו איפוס סיסמה עבור כל חשבון. הונדה הינה יצרנית יפנית של מכוניות, אופנועים וציוד עבודה. במקרה הנוכחי הושפעה רק פלטפורמת המסחר לציוד עבודה, כך שבעלי מכוניות או אופנועים של הונדה לא הושפעו מפגמי האבטחה של ה- API.
פגם האבטחה במערכות של הונדה התגלה על ידי חוקר האבטחה Zveare – מי שפרץ את פורטל הספקים של טויוטה לפני מספר חודשים, תוך מינוף נקודות תורפה דומות. במקרה של הונדה ניצל Zveare ממשק API לאיפוס סיסמה כדי לאפס את הסיסמה של חשבונות יקרי ערך ולאחר מכן ליהנות מגישה בלתי מוגבלת למידע ברמת מנהל ברשת המחשוב של החברה: "בקרות גישה שבורות או חסרות אפשרו גישה לכל הנתונים בפלטפורמה, גם כשהם מחוברים כחשבון בדיקה", הסביר החוקר.
כתוצאה מכך נחשף המידע הבא לחוקר האבטחה ואולי גם לפושעי סייבר הממנפים את אותה פגיעות: 21,393 הזמנות של לקוחות מאוגוסט 2016 עד מרץ 2023 – כולל שמות לקוחות, כתובת, מספרי טלפון ופריטים שהוזמנו; 1,570 אתרי סוחרים (1,091 מהם פעילים) – ניתן היה לשנות כל אחד מהאתרים הללו; 3,588 חשבונות של סוחרים (כולל שם פרטי ושם משפחה, כתובת אימייל) – ניתן היה לשנות את הסיסמה של כל אחד מהחשבונות הללו; 1,090 אימיילים של סוחרים (כולל שם פרטי ושם משפחה); 11,034 אימיילים של לקוחות (כולל שם פרטי ושם משפחה); פוטנציאלי: מפתחות פרטיים של Stripe, PayPal ו- Authorize.net עבור סוחרים שסיפקו אותם; דוחות כספיים פנימיים. מידע זה עלול לשמש להפעלת מתקפות דיוג ומתקפות אחרות של הנדסה חברתית, או להימכר בפורומי האקרים ובשווקים בלתי חוקיים ברשת האינטרנט האפלה. כמו כן, לאחר השגת גישה לאתרי הסוחרים יכולים האקרים לשתול רחפנים לכרטיסי אשראי, או לשתול קטעי JavaScript זדוניים אחרים.
Zveare הסביר שהפגם ב- API טמון בפלטפורמת המסחר האלקטרוני של הונדה, המקצה תת-דומיינים "powerdealer.honda.com" למשווקים / סוחרים רשומים. חוקר הסייבר מצא שה- API לאיפוס הסיסמה באחד מהאתרים של הונדה, Power Equipment Tech Express (PETE), עיבד בקשות איפוס ללא אסימון או סיסמה קודמת, אלא רק באמצעות אימייל חוקי. כתובת אימייל תקפה השייכת לסוחר הושגה על ידי חוקר הסייבר בסרטון YouTube שהדגים את לוח המחוונים של הסוחר באמצעות חשבון בדיקה. השלב הבא היה גישה למידע מסוחרים אמיתיים מלבד חשבון הבדיקה, מבלי לשבש את פעולתם וללא צורך לאפס את הסיסמאות של מאות חשבונות. הפתרון שמצא החוקר היה למנף פגיעות שנייה, שהיא הקצאה רציפה של מזהי משתמש בפלטפורמה והיעדר הגנות גישה. הדבר איפשר גישה לנתונים של כל סוחרי הונדה באופן שרירותי על ידי הגדלת מזהה המשתמש באחד, עד שלא התקבלו תוצאות אחרות. ראוי לציין כי פגם זה יכול היה להיות מנוצל על ידי הסוחרים הרשומים של הונדה כדי לגשת למידע של סוחרים אחרים, להזמנות שלהם, פרטי לקוחותיהם וכו'. השלב האחרון של המתקפה היה גישה לפאנל הניהול של הונדה, שהוא נקודת הבקרה המרכזית של פלטפורמת המסחר האלקטרוני של החברה. החוקר ניגש אליו על ידי שינוי תגובת HTTP כדי שתיראה כאילו הוא מנהל והעניק לו גישה בלתי מוגבלת לפלטפורמת אתרי הסוחרים של Honda.
האמור לעיל דווח להונדה ב- 16 במרץ 2023, ועד ל- 3 באפריל 2023 אישרה החברה שכל הבעיות תוקנו. יש לציין כי הונדה (כמו גם טויוטה) לא תגמלה את Zveare על הדיווח האחראי שלו.
