Honda電商平台安全漏洞 曝露客戶和經銷商資料
編譯/陳佩君
名為Eaton Zveare的美國研究人員早在今年年初發現Honda電商平台資訊安全漏洞和資料外洩問題,並於三月中旬通知Honda,該公司立即採取措施解決問題,並且表示該平台未發現任何惡意利用的證據。
Honda以汽車聞名,但Zveare分析該電商平台是專為銷售動力設備如發電機、泵浦、割草機,以及船舶引擎和配件而設計的。平台提供經銷商網站服務,可以通過平台銷售Honda產品,而經銷商需建立帳戶,然後建立網站、推廣產品並處理產品訂單。研究人員在管理儀表板中發現一個重置密碼的API漏洞,能重置在平台設置的測試帳戶密碼,還發現一個不安全的直接對象引用(Insecure Direct Object reference,IDOR)漏洞其為越權漏洞,只需更改管理面板URL中的ID值,就能訪問每位經銷商的資料。
Zveare表示,他已經獲得從2016年到2023年的超過21,000筆客戶訂單,包括姓名、地址、電話號碼和訂購項目的資訊,而這些漏洞更暴露1,500個可能被攻擊者修改的經銷商網站。此外,還發現超過3,500個經銷商帳戶,他可以更改其密碼,大約1,000個經銷商的電子郵件地址,以及11,000個客戶的電子郵件地址,推測還可能獲得一些經銷商提供的支付服務的私鑰,如PayPal、Stripe和Authorize.net。
研究人員在關於潛在影響部落格文章寫道,透過超過21,000筆客戶訂單的訪問,可創造高度有針對性的釣魚活動,試圖欺騙客戶提供更有價值的資訊,或嘗試在他們的設備上安裝惡意軟體。另一種可能性是每天檢查新的Honda訂單並發送釣魚郵件給客戶,偽裝成「註冊您的新本田產品」或「您輸入的信用卡號碼有誤,點擊此處進行更正」等。在一些敏銳的經銷商可能會發現此類網站變化,但他們可能會歸咎於自己被駭客攻擊,並更改他們的經銷商帳戶密碼。不幸的是,經銷商無法防止他們的網路商店受到這種攻擊。
這項漏洞被發現引起廣泛的關注,並強調企業在維護數據安全和保護客戶隱私方面的重要性。然而,這一事件提醒其他企業也要重視自身的數據安全措施,以確保顧客資料的保密性和完整性。
資料來源:SecurityWeek
瀏覽 603 次