The Hacker Newsは6月12日(米国時間)、「Password Reset Hack Exposed in Honda's E-Commerce Platform, Dealers Data at Risk」において、ホンダのEコマースプラットフォームに脆弱性があったと伝えた。機密情報に無制限にアクセスされる可能性があったことが明らかにされている。

電力機器、船舶、芝生、園芸事業の販売向けに設計されたHondaの公式Webサイトに脆弱性があったことが報告された。この問題は、Power Equipment Tech Express(PETE)のパスワードリセット機能を悪用することで関連するアカウントのパスワードがリセットされ、管理者レベルの完全なアクセスを取得できるというもの。ユーザー名やメールアドレスを知っているだけで、パスワードリセット要求を送信するAPIを利用してパスワードをリセットすることが可能だったと説明されている。

この脆弱性により不正にアカウントにログインされ、ディーラーWebサイトのURLの連続性を利用して別のディーラーの管理画面に不正にアクセスできる可能性があったという。加えて、ディーラーの顧客情報にアクセスされ、Webサイトや製品の編集を行ったり、最悪の場合プラットフォーム全体の管理者権限を昇格させる可能性もあったと報じられている。

この問題により2016年8月から2023年3月までの全ディーラーで21,393件の顧客注文、1,570件のディーラーWebサイト(そのうち1,091件はアクティブ)、3,588件のディーラーアカウント、1,090件のディーラーメール、11,034件の顧客メールに不正アクセスが可能だったことが判明している。また、これらのディーラーWebサイトへのアクセスを利用してスキマーや暗号資産のマイニングコードを挿入し、不正な利益を得ることもできたとされている。

発見された脆弱性は2023年3月16日にホンダに報告され、2023年4月3日に解決されているという。