本田电商平台API漏洞暴露客户数据

近日，安全研究人员Eaton Zveare发现本田动力设备的电商平台存在API漏洞，攻击者可为任何帐户重置密码，导致本田动力（包括电力、船舶、草坪和花园设备）电子商务平台容易受到任何人未经授权的访问。

本田是一家日本汽车、摩托车和动力设备制造商，受漏洞影响的是动力设备用户，汽车或摩托车的车主不受影响。

(相关资料图)

值得注意的是，仅仅数月前，Eaton Zveare利用类似的漏洞成功渗透了丰田的供应商门户。

对于本田，Eaton Works利用密码重置API重置重要帐户的密码，然后在本田公司网络上享受不受限制的管理员级别数据访问。

本田暴露给安全研究人员（包括潜在的攻击者）的敏感信息如下：

从2016年8月到2023年3月的所有经销商的21393份客户订单——包括客户姓名、地址、电话号码和订购的物品信息。

1570个经销商网站（其中1091个处于活动状态）。攻击者可修改这些站点中的任何一个（的管理页面）。

3588个经销商用户/帐户（包括名字和姓氏、电子邮件地址）。攻击者可以更改任何这些用户的密码。

1090个经销商电子邮件（包括名字和姓氏）。

11034封客户电子邮件（包括名字和姓氏）。

可能泄露信息包括：本田经销商的Stripe、PayPal和Authorize.net私钥。

内部财务报告。

上述数据可用于发起网络钓鱼活动、社会工程攻击，或在黑客论坛和暗网市场上出售。

此外，通过访问本田经销商站点，攻击者可以植入信用卡浏览器或其他恶意JavaScript代码段。

黑客可以编辑本田经销商站点页面内容

来源：eaton-works.com

Zveare解释说，API漏洞存在于本田的电子商务平台中，该平台将“powerdealer.honda.com”子域分配给注册经销商/经销商。

研究人员发现，本田网站Power Equipment Tech Express (PETE)上的密码重置API处理重置请求时不需要令牌或以前的密码，只需要一个有效的电子邮件。

虽然此漏洞不存在于电子商务子域登录门户中，但通过PETE站点切换的凭据仍然适用于它们，因此任何人都可以通过这种简单的攻击访问内部经销商数据。

上述情况已于2023年3月16日向本田报告，到2023年4月3日，本田确认所有问题均已解决。

由于没有漏洞赏金计划，本田没有奖励Zveare的安全报告，这与丰田案的结果相同。

标签：