本田电商平台有漏洞,客户和交易商数据被泄露
编译:代码卫士
研究员披露了从本田设备销售电商平台上发现的多个严重漏洞,它们可被攻击者用于访问客户和交易商信息。
这些漏洞和数据泄露情况是由美国安全研究员 Eaton Zveare 在今年早些时候发现的。他在3月中旬将问题告知本田,后者立即采取修复措施并致谢该研究员,但由于并未设立漏洞奖励计划,因此并未颁发赏金。本田公司表示并未发现漏洞遭恶意利用的证据。
虽然本田以汽车而最为人熟知,但 Zveare 分析的电商平台旨在销售本田电力设备(发电机、泵、割草机)和船只引擎和配件。该平台为本田 Dealer Sites 服务提供支持,该服务供交易商创建可以售卖本田产品的网站。交易商需要创建一个账户,之后可得到需要创建网站所需的所有工具,接着进行推销并处理产品订单。
研究员在该平台的管理员仪表盘中发现了一个密码重置 API 漏洞,可用于设置由本田设置的测试账户的密码。虽然利用它金科访问测试账户,但他发现了一个不安全的直接对象引用漏洞,仅需修改该管理控制台的URL中ID的值,就能访问所有交易商的数据。
他还能使用特殊构造的请求,从该交易商管理员仪表盘将权限提升至整个平台的管理员权限,而这个权限是为本田员工保留的。这一管理员面板可用于查看交易商网络,如订阅费用中所赚取的金额等。
Zveare 表示已获得超过2.1万个客户订单的访问权限,这些订单的时间范围是2016年至2023年,包括姓名、地址、电话号码和所订购商品名。该漏洞还暴露了1500个交易商站点,而这些站点可能已被攻击者修改。
此外,该研究员还发现了可被修改密码的超过3500个交易商账户,约1000份邮件地址和1.1万个邮箱地址。他认为还可能能够获得某些交易商为支付服务提供的私钥。
他提到其它潜在影响还包括,“有了超过2.1万名客户订单的访问权限,可创建具有高度针对性的钓鱼活动,诱骗客户提供更具价值的数据,或者在他们的设备上尝试安装恶意软件。另外一个可能性是检查每天的新订单并发送钓鱼邮件。”他表示,”我能想到的最严重的问题是拥有交易商网站的访问权限。目前能够秘密地更新超过1000个活跃网站,并增加恶意代码如密币挖矿机等。当然,一些仔细的交易商可能会发生这类网站变动,但他们尽可能认为自己被入侵并修改密码。但遗憾的是,交易商无法采取任何措施来防御此类攻击。“
今年早些时候,Zveare 从丰田的客户管理管理平台上发现了一个漏洞,可用于访问墨西哥客户的个人信息。
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。