A Honda confirmou que, sobre a sua divisão de produtos para jardim e de plataformas de energia, a API do sistema de compras online da empresa teria uma falha, na qual era possível realizar o reset da senha de acesso a qualquer conta na mesma.
Apesar de a Honda ser mais conhecida pelos seus veículos da mesma marca, a empresa encontra-se a atuar em várias áreas, entre as quais se encontra a criação de produtos de jardinagem. Esta falha estaria a afetar a API de um desses sistemas.
A falha foi descoberta pelo investigador Eaton Zveare, sendo que permitia a qualquer atacante realizar o reset das senhas de contas na plataforma, bem como ter acesso administrativo ao sistema interno da empresa. Este acesso poderia ser usado para recolher dados dos utilizadores e outras informações que podem ser classificadas como sensíveis.
Esta falha estaria presente sobre o Power Equipment Tech Express (PETE), um painel normalmente fornecido pela Honda a parceiros e revenderes, onde estes podem realizar as suas encomendas e várias outras atividades diretamente para a empresa.
A falha foi revelada à empresa no dia 16 de Março de 2023, tendo sido corrigida por volta de 3 de Abril de 2023. Não se sabe se a falha terá sido explorada maliciosamente no passado, no entanto, o investigador confirmou que seria possível aceder a dados sensíveis de parceiros e clientes datados de Agosto de 2016 e Março de 2023.
Nenhum comentário
Seja o primeiro!