Pandemi telah menyebabkan gangguan besar dalam rantai pasokan untuk berbagai industri. Salah satu bidang utama yang merasakan isu global adalah industri mobil. Untungnya, saya menemukan cara untuk mengeksploitasi API pabrikan untuk meminimalkan frustrasi saya.
Pertama, beberapa latar belakang: Banyak outlet telah melaporkan secara luas bahwa pabrikan menyatukan 99 persen kendaraan, memarkirnya di banyak tempat dan mengasumsikan bagian yang hilang, seperti chip komputer, akan segera tersedia dan mereka akan dapat menjalankan mesin sehingga kendaraan dapat dijual. Dalam perjalanan baru-baru ini, saya melewati pabrik F150 dan melihat tempat parkir yang luas di Kentucky Speedway, penuh dengan truk pabrik baru yang tidak dapat dihidupkan dan tidak dapat dijual.
Tacoma 2015 saya mencapai titik di mana saya ingin membuat keputusan untuk menyelesaikan pengaturannya untuk berkemah, atau menukarnya dan mendapatkan yang lebih baru untuk diperbaiki untuk berkemah. Dan dengan demikian, saya menemukan diri saya mencoba menemukan Tacoma baru, di tengah gangguan pasokan yang disebabkan oleh pandemi. Masalah dengan cepat menjadi menjengkelkan ketika saya memulai pencarian saya:
<
ul>iMobil yang ada di situs web dijual dua hari yang lalu dan mobil yang tiba di dealer kemarin belum ada di website. Penundaan ini berarti bahwa tidak ada cara untuk melihat apa yang dimiliki dealer. li
Mengintip di berbagai situs web dealer, saya menemukan tautan, terkubur di halaman, yang memungkinkan Anda menarik stiker jendela kendaraan yang “tersedia”. Terkandung dalam stiker adalah tujuan. Jika saya melihat URL untuk halaman tempat stiker jendela dibuat, terlihat seperti ini:
Jadi, daripada menelusuri situs web dealer dengan susah payah untuk melihat informasi yang tidak akurat, saya beralih untuk menarik data dari API pabrikan yang saya temukan, untuk melihat apa yang sedang dibangun dan di mana saya dapat membelinya.
Menemukan Truk yang Sempurna
Kelompok besar angka setelah “kendaraan” adalah VIN untuk truk yang saya minati. Awal dari VIN adalah pabrikan dan model, dan bagian numerik di akhir adalah nomor seri kendaraan. Dalam penelitian saya, saya mencoba memasukkan angka berikutnya yang lebih tinggi dan ini tidak berhasil. 3TMDZ5BN6NM122106 tidak memberi saya kendaraan yang sama yang baru saja dibuat nanti, itu tidak memberi saya apa pun. Ini berarti saya harus beralih ke alat untuk mencari tahu bagaimana saya dapat menemukan perjalanan saya berikutnya. Memuat permintaan ini ke BURP (proksi intersep yang memungkinkan saya untuk memanipulasi permintaan ke server web), dan mengulangi melalui kumpulan besar mungkin akan diperlukan.
Saya mengatur permintaan untuk beralih melalui empat digit terakhir dari VIN, menemukan beberapa kendaraan saya bisa melihat dan menghubungi dealer mengenai ketersediaan. Jika saya menjalankan ini cukup sering, saya dapat melihat kendaraan yang dibuat hari ini dan menghubungi dealer yang belum mereka kunjungi.
Memisahkan komunikasi web, memperhatikan pola dalam permintaan yang dibuat dan akhirnya mencari tahu bagaimana struktur bekerja adalah apa yang saya lakukan untuk mencari nafkah. Tidak realistis untuk mengharapkan pembeli mobil rata-rata mulai menulis bot untuk mencari cara menemukan kendaraan mereka berikutnya. Tetapi harapan yang lebih realistis adalah agar produsen mobil meluangkan lebih banyak waktu menggunakan teknologi yang telah mereka buat – database, serangkaian API, kehadiran web – untuk memberikan sumber informasi yang akurat kepada konsumen.
Cacat yang Dapat Dieksploitasi atau Informasi Publik?
Apakah ada cacat keamanan di sini? Ini adalah jenis pertanyaan “tergantung”. API yang diekspos sepenuhnya bersifat publik. Cara API digunakan adalah meminta sesuatu melalui parameter kueri sederhana. API ini tampaknya sangat sederhana. Sepertinya API ini dibuat untuk memisahkan lalu lintas dari sistem inventaris lainnya dan memungkinkan seseorang, mungkin dealer, untuk melihat sekilas kendaraan yang dibuat – mungkin untuk pembeli seperti saya? Dari sudut pandang strategi dan desain aplikasi, Toyota bekerja dengan sangat baik di sini. Menjaga harta milik mereka aman dari seseorang yang ingin menyerang itu berarti menjaga segala sesuatunya dipisahkan dan dikendalikan dengan baik.
Pertanyaan berikutnya adalah apakah itu dapat dieksploitasi. Sangat. Pemahaman tentang inventaris dan ketersediaan adalah persyaratan inti untuk penimbunan inventaris, pemintalan kursi, dan bot belanja (alias “grinch bots”). Untuk saat ini, kami akan menganggap itu digunakan untuk memberikan pratinjau kendaraan yang akan datang dengan harapan Toyota akan mengambil langkah untuk menggunakan apa yang mereka miliki untuk meningkatkan pengalaman berbelanja.
Sementara itu, saya sedang dalam perjalanan ke negara bagian lain untuk membeli truk baru.
Jason Kent adalah Hacker in Residence di Cequence Security.
Nikmati wawasan tambahan dari komunitas Infosec Insiders Threatpost dengan mengunjungi microsite kami yang mengunjungi kami.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web