近日，本田被曝存在API漏洞，客戶數(shù)據(jù)正處于高風(fēng)險狀態(tài)。由于利用API漏洞可以重置任何帳戶的密碼，所以本田的電力設(shè)備、船舶、草坪和花園電子商務(wù)平臺等都極易遭到外部人員的入侵。

幾個月前，一位化名Eaton Works的安全研究人員發(fā)現(xiàn)了本田系統(tǒng)的安全漏洞，他利用該漏洞入侵了本田的供應(yīng)商門戶網(wǎng)站。

Eaton Works利用了一個密碼重置API重置了那些本田內(nèi)部有價值的賬戶的密碼，然后在公司的網(wǎng)絡(luò)上進(jìn)行了不受限制的管理級數(shù)據(jù)訪問。

研究人員稱：訪問控制的破壞或缺失使得訪問平臺上的所有數(shù)據(jù)成為可能，即使是以測試帳戶登錄也是如此。

以下這些信息不僅暴露給了安全研究人員，還極可能暴露給了那些利用相同漏洞入侵的威脅行為者：

• 從2016年8月到2023年3月，所有經(jīng)銷商的21393個客戶訂單，其中包括客戶姓名、地址、電話號碼和訂購的商品
• 1570個經(jīng)銷商網(wǎng)站(其中1091個是活躍的)，所有站點均可被修改
• 3588個經(jīng)銷商用戶/賬戶(包括姓名、電子郵件地址)，任意用戶密碼均可被修改
• 1090封經(jīng)銷商電子郵件(包括姓名)
• 11034封客戶郵件(包括名字和姓氏)
• Stripe、PayPal和Authorize.net提供的私鑰。
• 內(nèi)部財務(wù)報告

曝光的客戶郵件(eaton-works.com)

上述數(shù)據(jù)可能被用于發(fā)起網(wǎng)絡(luò)釣魚活動、社會工程攻擊，或直接被人在黑客論壇和暗網(wǎng)市場上出售。此外，通過訪問經(jīng)銷商網(wǎng)站，攻擊者還可以植入信用卡刷卡程序或其他惡意JavaScript代碼片段。

能夠編輯頁面內(nèi)容(eaton-works.com)

訪問管理面板

EatonWorks解釋說，API漏洞存在于本田的電子商務(wù)平臺，該平臺將“powerdealer.honda.com”子域名分配給注冊經(jīng)銷商/經(jīng)銷商。

研究人員發(fā)現(xiàn)，本田有一個網(wǎng)站的電力設(shè)備技術(shù)快車(PETE)密碼重置API在處理重置請求時不需要令牌或之前的密碼，只需要有效的電子郵件即可。

雖然在電子商務(wù)子域登錄門戶上不存在此漏洞，但通過PETE站點切換的憑據(jù)仍然可以對它們起作用，因此任何人都可以通過這種簡單的攻擊訪問內(nèi)部經(jīng)銷商數(shù)據(jù)。

密碼重置API請求發(fā)送到PETE (eaton-works.com)

唯一缺失的部分是擁有一個屬于經(jīng)銷商的有效電子郵件地址，研究人員從YouTube視頻中獲取了該電子郵件地址，該視頻展示了使用測試帳戶的經(jīng)銷商面板。

YouTube視頻曝光測試賬號郵箱

除了測試賬戶，下一步就是從真正的交易商那里獲取信息。但最好是在不中斷操作的情況進(jìn)行，這樣就不必重新設(shè)置數(shù)百個帳戶的密碼。

研究人員發(fā)現(xiàn)的解決方案是利用第二個漏洞，即平臺中用戶id的順序分配和缺乏訪問保護(hù)。

這使得任意訪問所有本田經(jīng)銷商的數(shù)據(jù)面板成為可能，具體方法就是將用戶ID增加1，直到?jīng)]有任何其他結(jié)果。

研究人員稱：只要增加ID就可以訪問每個經(jīng)銷商的數(shù)據(jù)。底層JavaScript代碼接受該ID，并在API調(diào)用中使用它來獲取數(shù)據(jù)并在頁面上顯示。而值得慶幸的是，這個操作能讓重新設(shè)置密碼變得沒什么實際效用。

增加用戶ID號碼以訪問所有經(jīng)銷商面板(eaton-works.com)

值得注意的是，本田的注冊經(jīng)銷商可能會利用上述漏洞訪問其他經(jīng)銷商的面板，進(jìn)而訪問他們的訂單、客戶詳細(xì)信息等。最后一步就是訪問本田的管理面板，因為這是該公司電子商務(wù)平臺的中央控制點。

研究人員通過修改HTTP響應(yīng)假扮管理員訪問該面板，從而實現(xiàn)無限制地訪問本田經(jīng)銷商網(wǎng)站平臺。

本田經(jīng)銷商網(wǎng)站管理面板(eaton-works.com)

有關(guān)上述這個漏洞的相關(guān)問題是在今年3月16日報告給了本田，到今年4月3日，所有問題都已得到妥善解決。