Le piratage de la réinitialisation du mot de passe dans la plateforme de commerce électronique de Honda met en péril les données des concessionnaires

Les failles de sécurité découvertes dans la plateforme de commerce électronique de Honda auraient pu être exploitées pour obtenir un accès illimité aux informations sensibles des concessionnaires.

« Des contrôles d’accès défectueux ou manquants ont permis d’accéder à toutes les données de la plateforme, même lorsque l’utilisateur était connecté en tant que compte de test », a déclaré le chercheur en sécurité Eaton Zveare dans un rapport publié la semaine dernière.

Le piratage, en quelques mots, exploite un mécanisme de réinitialisation de mot de passe sur l’un des sites de Honda, Power Equipment Tech Express, pour réinitialiser le mot de passe associé à n’importe quel compte et obtenir un accès complet au niveau administrateur.

Pour ne rien arranger, ce défaut de conception aurait pu être utilisé pour accéder aux clients d’un concessionnaire, modifier son site web et ses produits et, pire encore, élever ses privilèges au rang d’administrateur de l’ensemble de la plateforme – une fonction réservée aux employés de Honda – au moyen d’une demande spécialement conçue pour afficher les détails du réseau de concessionnaires.

Au total, les faiblesses ont permis un accès illégitime à 21 393 commandes de clients pour l’ensemble des concessionnaires entre août 2016 et mars 2023, à 1 570 sites web de concessionnaires, à 3 588 comptes de concessionnaires, à 1 090 courriels de concessionnaires et à 11 034 courriels de clients.

Cette révélation intervient quelques mois après que M. Zveare a détaillé des problèmes de sécurité dans le système de gestion des informations de préparation des fournisseurs de Toyota et dans le système de gestion de la relation client C360, qui auraient pu être exploités pour accéder à un grand nombre de données de l’entreprise et de ses clients.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.