本田电子商务平台中的漏洞暴露了客户、经销商数据

一名研究人员披露了在用于设备销售的本田电子商务平台中发现的严重漏洞的详细信息。利用这些漏洞可能会让攻击者获得对客户和经销商信息的访问权限。

安全漏洞和数据泄露是今年早些时候由美国研究员 Eaton Zveare 发现的，他在 3 月中旬将他的发现通知了本田。供应商立即采取措施解决问题，并感谢白帽黑客的工作，但没有奖励他，因为它没有漏洞赏金计划。本田表示，没有发现任何恶意利用的证据。

虽然本田以其汽车而闻名，但 Zveare 分析的电子商务平台专为销售本田动力设备（发电机、水泵、割草机）以及船用发动机和配件而设计。

该平台为本田经销商网站提供支持，经销商可以使用这项服务来创建他们销售本田产品的网站。经销商需要创建一个帐户，然后才能获得创建网站、推广网站和处理产品订单所需的所有工具。

研究人员在管理仪表板中发现了一个密码重置 API 漏洞，该漏洞允许他重置 Honda 设置的测试帐户的密码。虽然这只能让他访问测试帐户，但他发现了一个不安全的直接对象引用 (IDOR) 漏洞，只需更改管理面板 URL 中的 ID 值，他就可以访问每个经销商的数据。

从经销商管理仪表板，他还能够使用特制请求将权限提升为整个平台的管理员——为本田员工保留的功能。该管理面板提供了经销商网络的概览，包括从订阅费中赚取的金额。

Zveare 表示，他已经获得了从 2016 年到 2023 年的 21,000 多个客户订单，包括姓名、地址、电话号码和订购商品的信息。这些漏洞还暴露了 1,500 个可能已被攻击者修改的经销商站点。

此外，研究人员还发现了 3,500 多个他可以更改密码的经销商帐户、大约 1,000 个经销商电子邮件地址和 11,000 个客户电子邮件地址。他认为，也有可能获得一些经销商提供的用于支付服务的私钥，例如 PayPal、Stripe 和 Authorize.net。

“通过访问超过 21,000 个客户订单，可以创建针对性很强的网络钓鱼活动，以诱骗客户提供更有价值的数据，或者尝试在他们的设备上安装恶意软件。另一种可能性是每天检查新的本田订单，并向客户发送伪装成“注册您的新本田产品”或“您输错了信用卡号，请单击此处更正”的网络钓鱼电子邮件，”研究人员在一份报告中写道关于潜在影响的博客文章。

他补充说：“我能想到的最重要的问题是访问经销商网站。有超过 1000 个活动站点可以被秘密更新以添加恶意代码，例如加密矿工和信用卡窃取程序。当然，一些精明的经销商可能会发现此类网站更改，但他们可能会将其归因于自己被黑客入侵并更改其经销商帐户密码。不幸的是，任何经销商都无法采取任何措施来保护他们的商店免受这种攻击。”

今年早些时候，Zveare 报告称在丰田客户关系管理 (CRM)平台中发现了一个漏洞，该漏洞可能被利用来访问墨西哥客户的个人信息。

原文始发于微信公众号（祺印说信安）：本田电子商务平台中的漏洞暴露了客户、经销商数据