黑客稱本田官網(wǎng)現(xiàn)重大漏洞，可從中獲取經(jīng)銷商及客戶信息天天熱頭條

2023-06-09 19:34:30|

來源：IT之家作者：

(資料圖片僅供參考)

IT之家 6 月 9 日消息，研究人員發(fā)現(xiàn)本田汽車母公司本田集團電商網(wǎng)站存在一項 API 漏洞，可能讓黑客得以從中獲取客戶及經(jīng)銷商的訂單、電子郵件、財務等資料信息。

▲ 圖源 Eaton Zveare

研究人員 Eaton Zveare 表示，自己使用網(wǎng)站的密碼重置功能，便直接重置了網(wǎng)站管理員賬號，接著只需要修改網(wǎng)頁 URL，就能夠看到本田旗下所有經(jīng)銷商的資料，包括讀取客戶郵件資訊，乃至直接修改網(wǎng)站及產(chǎn)品信息。

▲ 圖源 Eaton Zveare

他同時還在 Angular-based 經(jīng)銷商網(wǎng)站的管理員頁面中，找到了一個“偽造身份”漏洞，使其得以冒充本田管理員，獲取到了所有經(jīng)銷商網(wǎng)站資料，包括客戶關(guān)系架構(gòu)圖、訂閱網(wǎng)站服務的經(jīng)銷商數(shù)量、企業(yè)總收入金額等信息。

▲ 圖源 Eaton Zveare

Zveare 表示，自己通過本田網(wǎng)站的漏洞，得到了從 2016 年 8 月到今年 3 月高達 2.1 萬個客戶資料、1 萬余個客戶郵件地址、1000 多筆經(jīng)銷商郵件地址、2000 多個經(jīng)銷商網(wǎng)站、3,600 筆經(jīng)銷商賬號的 Paypal 付款地址以及內(nèi)部財務報表等。

IT之家注意到，截至發(fā)稿，本田集團已經(jīng)修復了這些漏洞，但目前沒有做出任何官方性的回應。

標簽：