本田电子商务平台漏洞暴露客户数据
2023-6-16 09:50:56 Author: 黑白之道(查看原文) 阅读量:11 收藏

安全研究人员伊顿·兹维尔(Eaton Zveare)公开了对本田电动商务平台(用于动力设备、船舶和园艺产品)发现的重大漏洞的具体细节。

该漏洞使得任何人都可以重置任何账户的密码,因此存在未经授权的访问风险。

这位研究人员在今年年初发现了这些安全漏洞和数据泄露问题,并于三月中旬通知了本田公司他的发现。

供应商立即承认了这些问题,并对这位白帽黑客的努力表示了祝贺,但由于缺乏漏洞赏金计划,未对他进行任何赔偿。

本田公司表示未发现任何恶意利用的证据。

"我通过利用一个密码重置的API成功入侵了本田的动力设备/船舶/园艺经销商电子商务平台,可以轻松重置任何账户的密码," 研究人员说道。

"破损/缺失的访问控制使得即使作为测试账户登录,也能访问平台上的所有数据。"

该平台推动了本田经销商网站服务,允许经销商构建销售本田商品的网站。经销商在创建账户后,将获得一切所需资源来建设网站、进行市场营销和管理产品订单。

        管理员控制面板中的密码重置API漏洞

研究人员在管理员控制面板中发现了一个密码重置API漏洞,使他能够更改本田测试账户的密码。

通过此漏洞,可以获取完整的管理权限,包括以下内容:

自2016年8月至2023年3月,涵盖所有经销商的21,393个客户订单,包括客户姓名、地址、电话号码和订购的物品。

1,570个经销商网站(其中1,091个是活跃的),可以修改其中任意一个网站。

3,588个经销商用户/账户(包括名字、姓氏、电子邮件地址),可以更改其中任意一个用户的密码。

1,090个经销商的电子邮件(包括名字、姓氏)。

11,034个客户的电子邮件(包括名字、姓氏)。

可能还包括一些经销商提供的Stripe、PayPal和Authorize.net的私钥。

内部财务报告。

暴露的客户电子邮件

该研究人员提到,“powerdealer[.]honda.com”子域名是由Honda的电子商务平台授予授权经销商和经销商的,其中包含API问题。
他发现Honda网站上的Power Equipment Tech Express (PETE)密码重置API在没有令牌或先前密码的情况下执行重置请求,只需要一个有效的电子邮件。
尽管电子商务子域名登录门户上不存在此漏洞,但任何人都可以使用这种简单的攻击方式访问内部经销商数据,因为在PETE网站上更改的凭据仍然可以在那里使用。

发送给 PETE 的密码重置 API 请求

研究人员从一个YouTube视频中获得了一个合法的经销商电子邮件地址,该视频展示了如何使用测试账户访问经销商仪表板。

YouTube 视频中暴露的测试帐户电子邮件

研究人员解释道:“该平台为订单、站点等所有内容分配了数字ID。这些ID是顺序的,因此只需在当前ID上加1即可进入下一个记录。”他发现通过修改该ID,可以访问不同经销商的仪表板。浏览器地址栏显示了分配给每个经销商网站的ID。

为当前 ID 添加 +1 会将您带到下一条记录

最后阶段的操作是获取对本田汽车的管理面板的访问权限,该面板是公司电子商务平台的主要管理界面。

通过修改HTTP响应,使其看起来像自己是管理员,研究人员获得了对本田经销商网站平台的无限制访问权限。

本田经销商网站管理面板

研究人员表示,利用超过21,000个客户订单的访问权限,可以开展高度针对性的网络钓鱼攻击,欺骗客户提交更敏感的数据,或试图在他们的设备上安装恶意软件。

此外,超过1,000个活动网站可能已被秘密更改,包含危险的恶意软件,如信用卡窃取器和加密货币挖矿程序。

文章来源:嘶吼专业版

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

多一个点在看多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650571922&idx=2&sn=acb776510cc94fbb8593459229e3f036&chksm=83bde176b4ca686005502c36595f00e00b1a2e1afdae29f8d293264a07b987ecf996db58dd2f#rd
如有侵权请联系:admin#unsafe.sh