Уязвимости ecommerce-платформы Honda сливали данные дилеров и клиентов
Главная » Новости
Мониторинг ИТ-инфраструктурыВ эфире AM Live мы обсудим, как создать работающий мониторинг в ИТ, который работает на бизнес. От базовых принципов observability до внедрения SRE-подходов и управления надежностью через SLI/SLO. Разберем какие метрики использовать для мониторинга состояния сервисов, как строить платформу мониторинга и как интегрировать ее с ITSM, CI/CD и SecOps. Цель — превратить мониторинг из простого наблюдения в инструмент управления.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Уязвимости ecommerce-платформы Honda сливали данные дилеров и клиентов

Татьяна Никитина 08 Июня 2023 - 19:33
...
Уязвимости ecommerce-платформы Honda сливали данные дилеров и клиентов

Раскрыты детали уязвимостей, найденных в платформе Honda Dealer Sites, облегчающей продажу электрооборудования: генераторов, насосов, газонокосилок. Баги, позволявшие получить информацию о клиентах и торговых партнерах компании, уже устранены.

О наличии серьезных проблем с безопасностью платформы электронной коммерции Honda узнала три месяца назад. Вендор немедленно запустил расследование, подтвердил возможность утечки и к началу апреля устранил все недочеты; признаков злоупотребления не обнаружено.

По словам автора опасных находок, анализ админ-панели, предоставляемой пользователям hondadealersites.com, выявил ошибку в реализации API для восстановления пароля. Ее использование позволяло сбросить пароль тестового аккаунта, а связке с другой найденной уязвимостью (IDOR, небезопасная прямая ссылка на объект) — получить доступ к данным всех дилеров, меняя идентификатор в URL.

Как оказалось, отсюда же можно с помощью особого запроса повысить привилегии до уровня администратора платформы (функциональность, доступная только сотрудникам Honda). Такой эксплойт позволял получить представление о дилерской сети и дивидендах компании в виде платы, взимаемой с подписчиков.

Из-за неадекватного контроля доступа можно было добраться до любой информации на платформе, притом даже из-под тестового аккаунта. А полный админ-доступ позволял получить, например, такие сведения:

  • данные более чем 21 тыс. заказов, оформленных у дилеров в период с 2016 года по 2023-й, с именами, адресами и телефонами клиентов;
  • имена, имейл, пароли 3588 дилеров, с возможностью подмены;
  • имена, фамилии, имейл более 11 тыс. клиентов;
  • формы финансовой отчетности;
  • потенциально — закрытые криптоключи PayPal, Stripe, Authorize.net.

Уязвимости также позволяли получить доступ к 1570 сайтам дилеров и привнести изменения — например, внедрить веб-скиммер. А доступ к детализации заказов можно было использовать для целевого фишинга.

Автомобильный бизнес Honda найденные проблемы не затронули.

В начале года тот же багхантер обнародовал уязвимость в системе управления глобальной цепочкой поставок Toyota. В веб-приложение GSPIMS был случайно привнесен бэкдор, позволявший получить доступ на чтение/запись к аккаунтам более 14 тыс. корпоративных пользователей, а также внутренним документам, проектам, комментариям и рейтингам поставщиков.

Следующая главная новость »
AM LiveСбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Microsoft закрыла две 0-day в Defender, которые уже используют в атаках
Екатерина Быстрова 21 Мая 2026 - 20:43
Windows Microsoft Windows Defender ЭксплойтыУязвимости программ Домашние пользователиКорпорации Персональный антивирусБесплатные антивирусы Microsoft
Microsoft закрыла две 0-day в Defender, которые уже используют в атаках

Microsoft срочно выкатывает патчи для двух уязвимостей во встроенном антивирусе Defender, которые уже эксплуатируются в реальных кибератаках. Получается, тот самый защитник Windows сам оказался точкой входа для злоумышленников.

Первая уязвимость — CVE-2026-41091 — затрагивает движок Microsoft Malware Protection. Из-за ошибки при обработке ссылок перед доступом к файлам злоумышленник может повысить привилегии до SYSTEM.

Вторая проблема — CVE-2026-45498 — находится в Microsoft Defender Antimalware Platform. Её эксплуатация позволяет вызвать отказ в обслуживании на незащищённых Windows-устройствах. Проще говоря, систему можно уронить или привести в нерабочее состояние.

Microsoft выпустила патчи в версиях Malware Protection Engine 1.1.26040.8 и Antimalware Platform 4.18.26040.7. Компания утверждает, что большинству пользователей ничего делать не нужно: Defender обычно обновляет движок и платформу автоматически.

Но полностью полагаться на «оно само» — идея для смелых. Лучше открыть Безопасность Windows → Защита от вирусов и угроз → Обновления защиты и вручную проверить наличие апдейтов. Особенно если устройство рабочее, серверное или просто жаль его отдавать под эксперименты атакующих.

CISA уже добавила обе уязвимости в каталог Known Exploited Vulnerabilities и обязала федеральные ведомства США закрыть их до 3 июня.

AM LiveСбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!
Дуров: Telegram за 12 лет не раскрыл ни байта пользовательских сообщений
Новость
Дуров: Telegram за 12 лет не раскрыл ни байта пользовательск...
Android-троян в Google Play крадёт данные WhatsApp и переживает сброс
Новость
Android-троян в Google Play крадёт данные WhatsApp и пережив...
С 1 апреля в России отключат пополнение Apple ID со счёта телефона
Новость
С 1 апреля в России отключат пополнение Apple ID со счёта те...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.