探索网络安全新技术
攀登黑客技术最高峰

本田暴API漏洞 泄露客户数据、经销商面板和内部文件

近日,本田被曝存在API漏洞,允许任何人未经授权访问,并重置任何账户的密码。

本田是一家日本的汽车、摩托车和动力设备制造商。在本次事件中,只有后者受到影响,因此本田汽车或摩托车的车主并不会受到影响。

安全研究员“Eaton Works”利用密码重置API重置了有价值的账户的密码,并在公司网络中获得了不受限制的管理员级别数据访问权限。

研究员解释道:“破碎/缺失的访问控制使得即使作为测试账户登录,也可以访问平台上的所有数据。”

因此,以下信息被暴露给安全研究员,可能也会被利用相同漏洞的威胁行为者利用:

从2016年8月至2023年3月,所有经销商的21,393个客户订单 – 包括客户姓名、地址、电话号码和订购的物品。

1,570个经销商网站(其中1,091个处于活动状态)。可以修改其中任何一个网站。

3,588个经销商用户/账户(包括名字、姓氏和电子邮件地址)。可以更改其中任何一个用户/账户的密码。

1,090个经销商电子邮件(包括名字和姓氏)。

11,034个客户电子邮件(包括名字和姓氏)。

可能暴露了提供这些信息的经销商的Stripe、PayPal和Authorize.net私钥。

内部财务报告。

本田暴API漏洞 泄露客户数据、经销商面板和内部文件-威武网安

以上数据可能被用于发起网络钓鱼攻击、社会工程学攻击,或在黑客论坛和暗网市场上出售。

此外,攻击者可以利用访问经销商网站的权限,植入信用卡窃取器或其他恶意JavaScript脚本。

本田暴API漏洞 泄露客户数据、经销商面板和内部文件-威武网安

Eaton Works解释说,API漏洞存在于本田的电商平台中,该平台为注册的经销商分配“powerdealer.honda.com”子域名。

研究员发现,其中一个本田网站上的密码重置API在没有令牌或先前的密码的情况下处理重置请求,只需要一个有效的电子邮件地址。

虽然这个漏洞在电子商务子域名登录门户中不存在,但通过PETE网站切换的凭据仍可在这些门户上使用,因此任何人都可以通过这种简单的攻击访问内部经销商数据。

唯一缺失的是拥有经销商有效电子邮件地址,研究员从一个演示经销商控制面板的YouTube视频中获得了该地址。

下一步是访问真实经销商的信息,但最好在不干扰其运营的情况下,并且无需重置数百个账户的密码。

研究员发现的解决方案是利用第二个漏洞,即平台中用户ID的顺序分配和缺乏访问保护。

这使得通过逐一增加用户ID,任意访问所有本田经销商的数据板成为可能。

Eaton Works说:“只要增加那个ID,我就可以访问每个经销商的数据。底层JavaScript代码使用这个ID在API调用中提取数据并在页面上显示。值得庆幸的是,这个发现使得需要重置更多密码的需求无效了。”

值得注意的是,上述漏洞也可能被本田注册的经销商利用,以访问其他经销商的数据板,以及其订单、客户详细信息等。

攻击的最后一步是访问本田的管理员面板,这是公司电商平台的中央控制点。

本田暴API漏洞 泄露客户数据、经销商面板和内部文件-威武网安

研究员通过修改HTTP响应,使其似乎是管理员,从而访问了该面板,使他无限制地访问了本田经销商网站平台。

这些问题于2023年3月16日向本田报告,到2023年4月3日,本田确认所有问题已经修复。

由于本田没有设置漏洞赏金计划,因此没有奖励Eaton Works的负责任报告,这与丰田的情况相同。

打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《本田暴API漏洞 泄露客户数据、经销商面板和内部文件》
文章链接:https://www.wevul.com/1466.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

文章推荐

如果文章对您有帮助 请不要吝啬 打赏一下小站

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册