Уязвимости ecommerce-платформы Honda сливали данные дилеров и клиентов

Уязвимости ecommerce-платформы Honda сливали данные дилеров и клиентов

Уязвимости ecommerce-платформы Honda сливали данные дилеров и клиентов

Раскрыты детали уязвимостей, найденных в платформе Honda Dealer Sites, облегчающей продажу электрооборудования: генераторов, насосов, газонокосилок. Баги, позволявшие получить информацию о клиентах и торговых партнерах компании, уже устранены.

О наличии серьезных проблем с безопасностью платформы электронной коммерции Honda узнала три месяца назад. Вендор немедленно запустил расследование, подтвердил возможность утечки и к началу апреля устранил все недочеты; признаков злоупотребления не обнаружено.

По словам автора опасных находок, анализ админ-панели, предоставляемой пользователям hondadealersites.com, выявил ошибку в реализации API для восстановления пароля. Ее использование позволяло сбросить пароль тестового аккаунта, а связке с другой найденной уязвимостью (IDOR, небезопасная прямая ссылка на объект) — получить доступ к данным всех дилеров, меняя идентификатор в URL.

Как оказалось, отсюда же можно с помощью особого запроса повысить привилегии до уровня администратора платформы (функциональность, доступная только сотрудникам Honda). Такой эксплойт позволял получить представление о дилерской сети и дивидендах компании в виде платы, взимаемой с подписчиков.

Из-за неадекватного контроля доступа можно было добраться до любой информации на платформе, притом даже из-под тестового аккаунта. А полный админ-доступ позволял получить, например, такие сведения:

  • данные более чем 21 тыс. заказов, оформленных у дилеров в период с 2016 года по 2023-й, с именами, адресами и телефонами клиентов;
  • имена, имейл, пароли 3588 дилеров, с возможностью подмены;
  • имена, фамилии, имейл более 11 тыс. клиентов;
  • формы финансовой отчетности;
  • потенциально — закрытые криптоключи PayPal, Stripe, Authorize.net.

Уязвимости также позволяли получить доступ к 1570 сайтам дилеров и привнести изменения — например, внедрить веб-скиммер. А доступ к детализации заказов можно было использовать для целевого фишинга.

Автомобильный бизнес Honda найденные проблемы не затронули.

В начале года тот же багхантер обнародовал уязвимость в системе управления глобальной цепочкой поставок Toyota. В веб-приложение GSPIMS был случайно привнесен бэкдор, позволявший получить доступ на чтение/запись к аккаунтам более 14 тыс. корпоративных пользователей, а также внутренним документам, проектам, комментариям и рейтингам поставщиков.

kernel.org внезапно опустел: на зеркалах случайно удалили архивы ядра Linux

У kernel.org случился редкий инфраструктурный конфуз: из-за ошибки при настройке нового первичного зеркала и изменении системы синхронизации внезапно опустел каталог kernel.org/pub/. Именно там на публичных зеркалах хранились архивы с кодом выпусков ядра Linux, патчи и файлы со списками изменений.

Пользователи, заходившие в каталог, вместо привычного дерева файлов увидели пустоту. Очень философский опыт для мира открытого кода.

В Linux Foundation объяснили, что данные не потеряны: пострадали только копии на публичных зеркалах. Эталонные данные с кодом ядра Linux остались целы. Проблема возникла именно в инфраструктуре зеркалирования, где ошибочная настройка привела к удалению содержимого на существующих зеркалах.

Команда проекта уже занимается восстановлением данных. Но, как метко заметили участники kernel.org, удаление происходит быстро, а восстановление — медленно. Поэтому пользователей попросили набраться терпения.

Инцидент оказался неприятным не только для тех, кто привык скачивать архивы ядра напрямую с kernel.org. Он задел и сторонние проекты. Например, в Fedora сломались браузерные тесты openQA: много лет назад разработчики выбрали kernel.org как надёжный источник для проверки загрузки файлов.

Исходники ядра не исчезли, инфраструктура восстанавливается, а речь идет именно о зеркалах, но инцидент напоминает, что в больших системах даже аккуратная настройка зеркал может обернуться массовым rm -rf по публичным копиям.

RSS: Новости на портале Anti-Malware.ru