研究人员发现本田汽车母公司本田集团电商网站的一项API重设功能漏洞,可能让黑客得以存取客户订单、经销商及客户电子邮件、以及财务资料等。
研究人员Eaton Zveare今年3月在本田集团销售三个销售海事及事机具(动力机具、海事及园艺设备)的经销商电商网站(hondadealersites.com)发现此一漏洞。 漏洞位于这些网站的密码重设API,让研究人员进而获取本田网站管理员账号,并一览网站上的客户及经销商资料。
Zveare先是利用电商网站的密码重设功能,重设本田公开的测试账号,使其得以登入这些电商网站。 接着,网站上的直接对象参照(direct object reference)漏洞,使其只要变更URL的序列数字,即可访问所有经销商的数据,包括读取客户邮件信息,或变更或网站及产品资料,连骇入帐号都不必。 最后,他在Angular-based经销商网站的管理员仪表板页,还找到伪造身份漏洞,使其得以冒充本田管理员存取所有经销商网站资料,包括3层式架构、订阅网站服务的经销商数量及总收入金额等。
图片来源_Eaton Zveare
利用种种漏洞,研究人员一共找到从2016年8月到今年3月的2.1万笔客户订单信息,包括客户姓名、住址、电话及订购商品、1万多笔客户电邮信箱、近1,600个经销商网站、近3,600笔经销商账号、1,000多笔经销商电邮、可能的电子支付服务(如Stripe、PayPal或 Authorize.net)以及内部财务报表等。
在经过通报后,本田集团已解决这些漏洞。 这些漏洞不影响本田汽车。
研究人员建议网站管理员,应小心实作密码重设,避免曝露不安全的管理员API。 此外也应实作适当的存取控管,留心每个验证服务发出去的令牌都可能被用来存取API端点,并避免序列式的URL逻辑。 最后,他提醒以React或Angular撰写的单页式Web App要留心,用户浏览器可以看到所有代码,因此必须小心代码包含的信息。
上周丰田汽车才坦承云端系统配置不当长达10年,导致26万日本车主及车辆资料,以及海外经销商维修信息曝露于公开网络上,后者影响为数不详的亚洲车主。
