导语:安全研究人员伊顿·兹维尔(Eaton Zveare)公开了对本田电动商务平台(用于动力设备、船舶和园艺产品)发现的重大漏洞的具体细节。
安全研究人员伊顿·兹维尔(Eaton Zveare)公开了对本田电动商务平台(用于动力设备、船舶和园艺产品)发现的重大漏洞的具体细节。
该漏洞使得任何人都可以重置任何账户的密码,因此存在未经授权的访问风险。
这位研究人员在今年年初发现了这些安全漏洞和数据泄露问题,并于三月中旬通知了本田公司他的发现。
供应商立即承认了这些问题,并对这位白帽黑客的努力表示了祝贺,但由于缺乏漏洞赏金计划,未对他进行任何赔偿。
本田公司表示未发现任何恶意利用的证据。
"我通过利用一个密码重置的API成功入侵了本田的动力设备/船舶/园艺经销商电子商务平台,可以轻松重置任何账户的密码," 研究人员说道。
"破损/缺失的访问控制使得即使作为测试账户登录,也能访问平台上的所有数据。"
该平台推动了本田经销商网站服务,允许经销商构建销售本田商品的网站。经销商在创建账户后,将获得一切所需资源来建设网站、进行市场营销和管理产品订单。
管理员控制面板中的密码重置API漏洞
研究人员在管理员控制面板中发现了一个密码重置API漏洞,使他能够更改本田测试账户的密码。
通过此漏洞,可以获取完整的管理权限,包括以下内容:
自2016年8月至2023年3月,涵盖所有经销商的21,393个客户订单,包括客户姓名、地址、电话号码和订购的物品。
1,570个经销商网站(其中1,091个是活跃的),可以修改其中任意一个网站。
3,588个经销商用户/账户(包括名字、姓氏、电子邮件地址),可以更改其中任意一个用户的密码。
1,090个经销商的电子邮件(包括名字、姓氏)。
11,034个客户的电子邮件(包括名字、姓氏)。
可能还包括一些经销商提供的Stripe、PayPal和Authorize.net的私钥。
内部财务报告。
暴露的客户电子邮件
该研究人员提到,“powerdealer[.]honda.com”子域名是由Honda的电子商务平台授予授权经销商和经销商的,其中包含API问题。
他发现Honda网站上的Power Equipment Tech Express (PETE)密码重置API在没有令牌或先前密码的情况下执行重置请求,只需要一个有效的电子邮件。
尽管电子商务子域名登录门户上不存在此漏洞,但任何人都可以使用这种简单的攻击方式访问内部经销商数据,因为在PETE网站上更改的凭据仍然可以在那里使用。
发送给 PETE 的密码重置 API 请求
研究人员从一个YouTube视频中获得了一个合法的经销商电子邮件地址,该视频展示了如何使用测试账户访问经销商仪表板。
YouTube 视频中暴露的测试帐户电子邮件
研究人员解释道:“该平台为订单、站点等所有内容分配了数字ID。这些ID是顺序的,因此只需在当前ID上加1即可进入下一个记录。”他发现通过修改该ID,可以访问不同经销商的仪表板。浏览器地址栏显示了分配给每个经销商网站的ID。
为当前 ID 添加 +1 会将您带到下一条记录
最后阶段的操作是获取对本田汽车的管理面板的访问权限,该面板是公司电子商务平台的主要管理界面。
通过修改HTTP响应,使其看起来像自己是管理员,研究人员获得了对本田经销商网站平台的无限制访问权限。
本田经销商网站管理面板
研究人员表示,利用超过21,000个客户订单的访问权限,可以开展高度针对性的网络钓鱼攻击,欺骗客户提交更敏感的数据,或试图在他们的设备上安装恶意软件。
此外,超过1,000个活动网站可能已被秘密更改,包含危险的恶意软件,如信用卡窃取器和加密货币挖矿程序。
本文翻译自:https://gbhackers.com/honda-data-leak-2/如若转载,请注明原文地址