本田電商平臺API漏洞暴露客戶隱私數據

近日，安全研究人員Eaton Zveare發現本田動力設備的電商平臺存在API漏洞，攻擊者可為任何帳戶重置密碼，導致本田動力（包括電力、船舶、草坪和花園設備）電子商務平臺容易受到任何人未經授權的訪問。

本田是一家日本汽車、摩托車和動力設備制造商，受漏洞影響的是動力設備用戶，汽車或摩托車的車主不受影響。

值得注意的是，僅僅數月前，Eaton Zveare利用類似的漏洞成功滲透了豐田的供應商門戶。

對于本田，Eaton Works利用密碼重置API重置重要帳戶的密碼，然后在本田公司網絡上享受不受限制的管理員級別數據訪問。

本田暴露給安全研究人員（包括潛在的攻擊者）的敏感信息如下：

• 從2016年8月到2023年3月的所有經銷商的21393份客戶訂單——包括客戶姓名、地址、電話號碼和訂購的物品信息。
• 1570個經銷商網站（其中1091個處于活動狀態）。攻擊者可修改這些站點中的任何一個（的管理頁面）。
• 3588個經銷商用戶/帳戶（包括名字和姓氏、電子郵件地址）。攻擊者可以更改任何這些用戶的密碼。
• 1090個經銷商電子郵件（包括名字和姓氏）。
• 11034封客戶電子郵件（包括名字和姓氏）。
• 可能泄露信息包括：本田經銷商的Stripe、PayPal和Authorize.net私鑰。
• 內部財務報告。

上述數據可用于發起網絡釣魚活動、社會工程攻擊，或在黑客論壇和暗網市場上出售。

此外，通過訪問本田經銷商站點，攻擊者可以植入信用卡瀏覽器或其他惡意JavaScript代碼段。

黑客可以編輯本田經銷商站點頁面內容