Sommario
Gli attacchi informatici alle applicazioni di e-commerce sono diventati una tendenza comune nel 2023. Con l’espansione delle attività di e-commerce verso una presenza omnicanale, le aziende stanno sviluppando e implementando sempre più interfacce API. Questo ha portato gli attori delle minacce a esplorare costantemente nuovi modi per sfruttare le vulnerabilità. Pertanto, test regolari e monitoraggio continuo sono essenziali per proteggere appieno le applicazioni web.
L’attacco alla piattaforma e-commerce di Honda del 2023
La piattaforma di commercio elettronico di Honda, dedicata all’attrezzatura da giardino e ai prodotti marini, presentava una falla nell’API che permetteva a chiunque di richiedere un reset della password per qualsiasi account. La vulnerabilità è stata scoperta dal ricercatore Eaton Zveare, che ha recentemente identificato una grave falla nel portale dei fornitori di Toyota. Sfruttando questa vulnerabilità, un attore malintenzionato avrebbe potuto ottenere l’accesso ai dati a livello di amministratore sulla rete dell’azienda senza alcuna restrizione. Se scoperta da un cybercriminale, ciò avrebbe potuto portare a una violazione dei dati su larga scala con gravi conseguenze.
Come è stata scoperta la vulnerabilità
Sulla piattaforma e-commerce di Honda, i sottodomini “powerdealer.honda.com” sono assegnati ai rivenditori registrati. Zveare ha scoperto che l’API di reset della password su uno dei siti di Honda, Power Equipment Tech Express (PETE), stava elaborando le richieste di reset senza richiedere la password precedente. Una volta resettate, queste credenziali di accesso potevano essere utilizzate su qualsiasi portale di accesso al sottodominio e-commerce di Honda, fornendo accesso ai dati interni del concessionario.
La risposta di Honda
Il 3 aprile 2023, Honda ha dichiarato di aver risolto tutti i problemi dopo che le scoperte erano state inizialmente segnalate il 16 marzo 2023. Eaton Zveare non ha ricevuto alcuna ricompensa finanziaria per il suo lavoro, poiché l’azienda non ha un programma di ricompensa per la segnalazione di bug.
L’importanza dei test di sicurezza delle applicazioni e-commerce
I test di sicurezza delle applicazioni e-commerce sono fondamentali per proteggere le informazioni personali e finanziarie di tutti coloro che sono collegati all’applicazione. La frequenza degli attacchi informatici alle applicazioni di e-commerce è alta, il che significa che è necessaria una protezione adeguata per prevenire violazioni dei dati che possono danneggiare gravemente la reputazione di un’azienda e causare perdite finanziarie.
Gli attacchi informatici ai siti di e-commerce sono frequenti e persino piattaforme costruite da aziende globali come Honda hanno presentato vulnerabilità critiche scoperte nell’ultimo anno. I test di sicurezza sono necessari per valutare l’intera superficie di attacco di un’applicazione di e-commerce, proteggendo sia l’azienda che i suoi utenti da attacchi informatici come il phishing o l’e-skimming.
