安全研究人员伊顿·兹维尔（Eaton Zveare）公开了对本田电动商务平台（用于动力设备、船舶和园艺产品）发现的重大漏洞的具体细节。

该漏洞使得任何人都可以重置任何账户的密码，因此存在未经授权的访问风险。

这位研究人员在今年年初发现了这些安全漏洞和数据泄露问题，并于三月中旬通知了本田公司他的发现。

供应商立即承认了这些问题，并对这位白帽黑客的努力表示了祝贺，但由于缺乏漏洞赏金计划，未对他进行任何赔偿。

本田公司表示未发现任何恶意利用的证据。

"我通过利用一个密码重置的API成功入侵了本田的动力设备/船舶/园艺经销商电子商务平台，可以轻松重置任何账户的密码，" 研究人员说道。

"破损/缺失的访问控制使得即使作为测试账户登录，也能访问平台上的所有数据。"

该平台推动了本田经销商网站服务，允许经销商构建销售本田商品的网站。经销商在创建账户后，将获得一切所需资源来建设网站、进行市场营销和管理产品订单。

        管理员控制面板中的密码重置API漏洞

研究人员在管理员控制面板中发现了一个密码重置API漏洞，使他能够更改本田测试账户的密码。

通过此漏洞，可以获取完整的管理权限，包括以下内容：

自2016年8月至2023年3月，涵盖所有经销商的21,393个客户订单，包括客户姓名、地址、电话号码和订购的物品。

1,570个经销商网站（其中1,091个是活跃的），可以修改其中任意一个网站。

3,588个经销商用户/账户（包括名字、姓氏、电子邮件地址），可以更改其中任意一个用户的密码。

1,090个经销商的电子邮件（包括名字、姓氏）。

11,034个客户的电子邮件（包括名字、姓氏）。

可能还包括一些经销商提供的Stripe、PayPal和Authorize.net的私钥。

内部财务报告。

暴露的客户电子邮件

发送给 PETE 的密码重置 API 请求

YouTube 视频中暴露的测试帐户电子邮件

为当前 ID 添加 +1 会将您带到下一条记录

最后阶段的操作是获取对本田汽车的管理面板的访问权限，该面板是公司电子商务平台的主要管理界面。

通过修改HTTP响应，使其看起来像自己是管理员，研究人员获得了对本田经销商网站平台的无限制访问权限。

本田经销商网站管理面板

研究人员表示，利用超过21,000个客户订单的访问权限，可以开展高度针对性的网络钓鱼攻击，欺骗客户提交更敏感的数据，或试图在他们的设备上安装恶意软件。

此外，超过1,000个活动网站可能已被秘密更改，包含危险的恶意软件，如信用卡窃取器和加密货币挖矿程序。

如侵权请私聊我们删文

多一个点在看多一条小鱼干