English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
Honda, 미국 장비 딜러용 플랫폼에서 연구원이 발견한 버그 수정
Jun 06, 2023혼다는 미국의 혼다 파워 이큅먼트(Honda Power Equipment)와 혼다 마린(Honda Marine) 딜러가 사용하는 플랫폼에서 누구나 계정을 탈취할 수 있는 취약점을 수정했다고 밝혔습니다.
이번 주 사이버 보안 전문가 Eaton Zveare는 모든 계정의 비밀번호 재설정을 "쉽게" 허용하는 결함을 이용하여 플랫폼을 손상시킬 수 있었던 방법을 설명했습니다.
이 도구는 발전기, 잔디 깎는 기계, 선외 모터와 같은 Honda 제품을 판매하는 미국 딜러를 위한 것입니다. 이 문제는 어떤 식으로든 Honda의 자동차 사업에 영향을 미치지 않은 것으로 보이지만 Zveare는 다른 Honda 제품을 온라인으로 구매한 사람들이 위험에 처했을 수 있다고 말했습니다.
Honda는 지난 4월 Zveare의 취약점을 확인하고 Recorded Future News에 이 문제를 인지한 후 "사이트에 대한 액세스를 신속하게 격리하고 이후 사이트의 보안 조치를 업데이트"했으며 결국 서비스를 재개했다고 밝혔습니다.
대변인은 “현재 혼다는 이 취약점을 이용해 사이트에 저장된 민감한 소비자나 딜러 정보에 접근하거나 악의적인 활동을 하고 있다는 사실을 인지하지 못했다”고 말했다.
"이번 상황으로 인해 고객이나 딜러에게 우려가 생길 수 있어 진심으로 유감스럽게 생각하지만, 문제를 해결하기 위해 빠른 조치를 취할 수 있도록 연구원으로부터 통지를 받은 것에 감사드립니다."
Zveare는 이 취약점으로 인해 테스트 계정으로 로그인한 경우에도 플랫폼의 모든 데이터에 액세스할 수 있었다고 말했습니다. 그의 액세스를 통해 그는 2016년 8월부터 2023년 3월까지 모든 딜러에서 고객 이름, 주소, 전화번호 및 주문한 품목을 포함하여 21,393건의 고객 주문을 볼 수 있었습니다.
그는 또한 1,570개 딜러 웹사이트의 정보에 액세스하고 사이트를 수정할 수 있었습니다. 이 취약점으로 인해 그는 3,588개의 딜러 계정을 모두 볼 수 있고 모든 사용자의 비밀번호를 변경할 수 있게 되었습니다. 그는 1,000개 이상의 딜러 이메일과 11,000개 이상의 고객 이메일을 보았습니다.
Zveare는 Stripe, PayPal 및 Authorize.net 개인 키를 플랫폼에 배치한 딜러의 개인 키에 액세스할 수 있었을 수도 있다고 언급했습니다.
그는 2022년 10월 GSPIMS(글로벌 공급업체 준비 정보 관리 시스템)라는 Toyota 웹 앱을 완전히 제어하기 위해 2월에 파장을 일으킨 후 플랫폼을 테스트하도록 영감을 받았습니다. 해당 플랫폼은 프로젝트, 부품, 설문 조사, 구매 등.
"지난해 말 Toyota의 시스템을 몇 차례 성공적으로 침해한 후, 나는 새로운 자동차 제조업체 대상으로 손을 잡고 싶었습니다. Honda가 필요한 이유는 무엇입니까? 내 가족의 친한 친구가 Honda 차량을 좋아하므로 흥미로운 취약점을 발견하면 재미있는 대화 주제를 만들어달라”고 말했다.
Honda는 2016년부터 Honda Dealer Sites 전자상거래 플랫폼을 보유하고 있으며 이를 통해 딜러는 Honda 제품을 판매하기 위한 웹사이트나 매장을 쉽게 만들 수 있습니다.
Zveare는 Power Equipment Tech Express(PETE)라는 또 다른 연결 플랫폼을 통해 사이트에 진입하는 방법을 찾았습니다. 그는 PETE의 비밀번호 재설정 메커니즘을 남용하는 것이 메인 플랫폼의 계정에도 효과가 있다는 것을 발견했습니다.
그는 실제 사용자의 계정이 잠길까 걱정되어 Honda 딜러를 위한 YouTube 웹 세미나에서 사용된 샘플 계정을 사용했습니다. 거기에서 그에게 필요한 것은 이메일 주소뿐이었습니다.
"비밀번호 재설정 취약점은 심각했고 이제 실제 딜러 이메일을 찾으면 쉽게 그들의 계정에 액세스할 수 있다는 것을 알았습니다. 그러나 이는 잠재적으로 그들의 비즈니스에 지장을 줄 수 있으므로 그렇게 하지 않고 대신 찾기 위해 노력했습니다. 또 다른 덜 파괴적인 공격입니다."라고 그는 설명했습니다.
그런 다음 그는 모든 계정에 일련번호가 할당되어 있다는 사실을 파악하여 대량의 데이터에 액세스할 수 있었습니다. 다른 딜러의 계정을 보는 것은 단순히 URL을 한 자리만 변경하면 되는 문제였습니다.
Zveare는 가장 기본적인 수준에서 해커가 모든 고객 데이터와 딜러 정보를 쉽게 유출할 수 있다고 말했습니다. 그러나 더 정교하고 금전적인 동기가 있는 해커는 더 귀중한 정보를 훔치거나 악성 코드를 설치하려는 노력의 일환으로 자신의 액세스 권한을 악용하여 고객을 대상으로 표적 피싱 캠페인을 시작할 수 있었습니다.