安全研究人员伊顿·兹维尔（Eaton Zveare）公开了对本田电动商务平台（用于动力设备、船舶和园艺产品）发现的重大漏洞的具体细节。

该漏洞使得任何人都可以重置任何账户的密码，因此存在未经授权的访问风险。

这位研究人员在今年年初发现了这些安全漏洞和数据泄露问题，并于三月中旬通知了本田公司他的发现。

供应商立即承认了这些问题，并对这位白帽黑客的努力表示了祝贺，但由于缺乏漏洞赏金计划，未对他进行任何赔偿。

本田公司表示未发现任何恶意利用的证据。

"我通过利用一个密码重置的API成功入侵了本田的动力设备/船舶/园艺经销商电子商务平台，可以轻松重置任何账户的密码，" 研究人员说道。

"破损/缺失的访问控制使得即使作为测试账户登录，也能访问平台上的所有数据。"

该平台推动了本田经销商网站服务，允许经销商构建销售本田商品的网站。经销商在创建账户后，将获得一切所需资源来建设网站、进行市场营销和管理产品订单。

       管理员控制面板中的密码重置API漏洞

研究人员在管理员控制面板中发现了一个密码重置API漏洞，使他能够更改本田测试账户的密码。

通过此漏洞，可以获取完整的管理权限，包括以下内容：

自2016年8月至2023年3月，涵盖所有经销商的21,393个客户订单，包括客户姓名、地址、电话号码和订购的物品。

1,570个经销商网站（其中1,091个是活跃的），可以修改其中任意一个网站。

3,588个经销商用户/账户（包括名字、姓氏、电子邮件地址），可以更改其中任意一个用户的密码。

1,090个经销商的电子邮件（包括名字、姓氏）。

11,034个客户的电子邮件（包括名字、姓氏）。

可能还包括一些经销商提供的Stripe、PayPal和Authorize.net的私钥。

内部财务报告。

暴露的客户电子邮件

该研究人员提到，“powerdealer[.]honda.com”子域名是由Honda的电子商务平台授予授权经销商和经销商的，其中包含API问题。

他发现Honda网站上的Power Equipment Tech Express (PETE)密码重置API在没有令牌或先前密码的情况下执行重置请求，只需要一个有效的电子邮件。

尽管电子商务子域名登录门户上不存在此漏洞，但任何人都可以使用这种简单的攻击方式访问内部经销商数据，因为在PETE网站上更改的凭据仍然可以在那里使用。

发送给 PETE 的密码重置 API 请求

研究人员从一个YouTube视频中获得了一个合法的经销商电子邮件地址，该视频展示了如何使用测试账户访问经销商仪表板。

YouTube 视频中暴露的测试帐户电子邮件

研究人员解释道：“该平台为订单、站点等所有内容分配了数字ID。这些ID是顺序的，因此只需在当前ID上加1即可进入下一个记录。”他发现通过修改该ID，可以访问不同经销商的仪表板。浏览器地址栏显示了分配给每个经销商网站的ID。

为当前 ID 添加 +1 会将您带到下一条记录

最后阶段的操作是获取对本田汽车的管理面板的访问权限，该面板是公司电子商务平台的主要管理界面。

通过修改HTTP响应，使其看起来像自己是管理员，研究人员获得了对本田经销商网站平台的无限制访问权限。

本田经销商网站管理面板

研究人员表示，利用超过21,000个客户订单的访问权限，可以开展高度针对性的网络钓鱼攻击，欺骗客户提交更敏感的数据，或试图在他们的设备上安装恶意软件。

此外，超过1,000个活动网站可能已被秘密更改，包含危险的恶意软件，如信用卡窃取器和加密货币挖矿程序。

参考及来源：https://gbhackers.com/honda-data-leak-2/