API를 통해 누구나 아무 계정 접근할 수 있어…추가 사기 조심해야
요약 : IT 외신 블리핑컴퓨터에 의하면 차량 제조사인 혼다(Honda)의 온라인 거래 플랫폼에서 중대한 API 오류가 발견됐다고 한다. 비밀번호 변경 API가 문제의 근원인데, 이를 익스플로잇 할 경우 누구나 이 플랫폼에서 생성된 계정에 접속할 수 있게 된다고 한다. 혼다 플랫폼에서 높은 가치를 가진 계정의 이름만 알게 된다면 공격자는 이 API 오류를 통해 그 계정의 이름으로 접속해 여러 가지 혜택을 누릴 수 있게 된다. 그 혜택 중에는 각종 정보에 접근할 수 있다는 것도 포함된다.
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](http://www.boannews.com/media/upFiles2/2023/06/1061366623_7417.jpg)
[이미지 = gettyimagesbank]
배경 : 이 취약점을 발견한 보안 전문가는 ‘이튼웍스(Eaton Works)’라는 ID로 활동하는 인물로, 이번 취약점 익스플로잇을 통해 2만 건의 고객 주문 이력, 1570개 딜러 웹사이트, 3588개 사용자 및 딜러 ID, 1090개의 딜러 이메일 등을 열람할 수 있었다고 한다.
말말말 : “제가 찾아낸 정보들을 조합하면 매우 정교한 피싱 및 소셜엔지니어링 공격이 가능합니다. 이번에도 혼다 고객들 사이에서 추가 사기 시도가 있을 수 있습니다.” -이튼웍스-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
