本田電商平臺API漏洞暴露客戶數據

近日，安全研究人員Eaton Zveare發現本田動力設備的電商平臺存在API漏洞，攻擊者可為任何帳戶重置密碼，導致本田動力（包括電力、船舶、草坪和花園設備）電子商務平臺容易受到任何人未經授權的訪問。

本田是一家日本汽車、摩托車和動力設備制造商，受漏洞影響的是動力設備用戶，汽車或摩托車的車主不受影響。

值得注意的是，僅僅數月前，Eaton Zveare利用類似的漏洞成功滲透了豐田的供應商門戶。

對于本田，Eaton Works利用密碼重置API重置重要帳戶的密碼，然后在本田公司網絡上享受不受限制的管理員級別數據訪問。

本田暴露給安全研究人員（包括潛在的攻擊者）的敏感信息如下：

• 從2016年8月到2023年3月的所有經銷商的21393份客戶訂單——包括客戶姓名、地址、電話號碼和訂購的物品信息。
• 1570個經銷商網站（其中1091個處于活動狀態）。攻擊者可修改這些站點中的任何一個（的管理頁面）。
• 3588個經銷商用戶/帳戶（包括名字和姓氏、電子郵件地址）。攻擊者可以更改任何這些用戶的密碼。
• 1090個經銷商電子郵件（包括名字和姓氏）。
• 11034封客戶電子郵件（包括名字和姓氏）。
• 可能泄露信息包括：本田經銷商的Stripe、PayPal和Authorize.net私鑰。
• 內部財務報告。

上述數據可用于發起網絡釣魚活動、社會工程攻擊，或在黑客論壇和暗網市場上出售。

此外，通過訪問本田經銷商站點，攻擊者可以植入信用卡瀏覽器或其他惡意JavaScript代碼段。

黑客可以編輯本田經銷商站點頁面內容 來源：eaton-works.com

Zveare解釋說，API漏洞存在于本田的電子商務平臺中，該平臺將“powerdealer.honda.com”子域分配給注冊經銷商/經銷商。

研究人員發現，本田網站Power Equipment Tech Express (PETE)上的密碼重置API處理重置請求時不需要令牌或以前的密碼，只需要一個有效的電子郵件。

雖然此漏洞不存在于電子商務子域登錄門戶中，但通過PETE站點切換的憑據仍然適用于它們，因此任何人都可以通過這種簡單的攻擊訪問內部經銷商數據。

上述情況已于2023年3月16日向本田報告，到2023年4月3日，本田確認所有問題均已解決。

由于沒有漏洞賞金計劃，本田沒有獎勵Zveare的安全報告，這與豐田案的結果相同。