近日，本田被曝存在API漏洞，客戶數據正處于高風險狀態。由于利用API漏洞可以重置任何帳戶的密碼，所以本田的電力設備、船舶、草坪和花園電子商務平臺等都極易遭到外部人員的入侵。

幾個月前，一位化名Eaton Works的安全研究人員發現了本田系統的安全漏洞，他利用該漏洞入侵了本田的供應商門戶網站。

Eaton Works利用了一個密碼重置API重置了那些本田內部有價值的賬戶的密碼，然后在公司的網絡上進行了不受限制的管理級數據訪問。

研究人員稱：訪問控制的破壞或缺失使得訪問平臺上的所有數據成為可能，即使是以測試帳戶登錄也是如此。

以下這些信息不僅暴露給了安全研究人員，還極可能暴露給了那些利用相同漏洞入侵的威脅行為者：

• 從2016年8月到2023年3月，所有經銷商的21393個客戶訂單，其中包括客戶姓名、地址、電話號碼和訂購的商品
• 1570個經銷商網站(其中1091個是活躍的)，所有站點均可被修改
• 3588個經銷商用戶/賬戶(包括姓名、電子郵件地址)，任意用戶密碼均可被修改
• 1090封經銷商電子郵件(包括姓名)
• 11034封客戶郵件(包括名字和姓氏)
• Stripe、PayPal和Authorize.net提供的私鑰。
• 內部財務報告

曝光的客戶郵件(eaton-works.com)

上述數據可能被用于發起網絡釣魚活動、社會工程攻擊，或直接被人在黑客論壇和暗網市場上出售。此外，通過訪問經銷商網站，攻擊者還可以植入信用卡刷卡程序或其他惡意JavaScript代碼片段。

能夠編輯頁面內容(eaton-works.com)

訪問管理面板

EatonWorks解釋說，API漏洞存在于本田的電子商務平臺，該平臺將“powerdealer.honda.com”子域名分配給注冊經銷商/經銷商。

研究人員發現，本田有一個網站的電力設備技術快車(PETE)密碼重置API在處理重置請求時不需要令牌或之前的密碼，只需要有效的電子郵件即可。

雖然在電子商務子域登錄門戶上不存在此漏洞，但通過PETE站點切換的憑據仍然可以對它們起作用，因此任何人都可以通過這種簡單的攻擊訪問內部經銷商數據。

密碼重置API請求發送到PETE (eaton-works.com)

唯一缺失的部分是擁有一個屬于經銷商的有效電子郵件地址，研究人員從YouTube視頻中獲取了該電子郵件地址，該視頻展示了使用測試帳戶的經銷商面板。

YouTube視頻曝光測試賬號郵箱

除了測試賬戶，下一步就是從真正的交易商那里獲取信息。但最好是在不中斷操作的情況進行，這樣就不必重新設置數百個帳戶的密碼。

研究人員發現的解決方案是利用第二個漏洞，即平臺中用戶id的順序分配和缺乏訪問保護。

這使得任意訪問所有本田經銷商的數據面板成為可能，具體方法就是將用戶ID增加1，直到沒有任何其他結果。

研究人員稱：只要增加ID就可以訪問每個經銷商的數據。底層JavaScript代碼接受該ID，并在API調用中使用它來獲取數據并在頁面上顯示。而值得慶幸的是，這個操作能讓重新設置密碼變得沒什么實際效用。

增加用戶ID號碼以訪問所有經銷商面板(eaton-works.com)

值得注意的是，本田的注冊經銷商可能會利用上述漏洞訪問其他經銷商的面板，進而訪問他們的訂單、客戶詳細信息等。最后一步就是訪問本田的管理面板，因為這是該公司電子商務平臺的中央控制點。

研究人員通過修改HTTP響應假扮管理員訪問該面板，從而實現無限制地訪問本田經銷商網站平臺。

本田經銷商網站管理面板(eaton-works.com)

有關上述這個漏洞的相關問題是在今年3月16日報告給了本田，到今年4月3日，所有問題都已得到妥善解決。