黑客稱本田官網(wǎng)現(xiàn)重大漏洞,可從中獲取經(jīng)銷商及客戶信息 天天熱頭條
2023-06-09 19:34:30|
來源:IT之家 作者:
(資料圖片僅供參考)
IT之家 6 月 9 日消息,研究人員發(fā)現(xiàn)本田汽車母公司本田集團(tuán)電商網(wǎng)站存在一項 API 漏洞,可能讓黑客得以從中獲取客戶及經(jīng)銷商的訂單、電子郵件、財務(wù)等資料信息。
研究人員 Eaton Zveare 表示,自己使用網(wǎng)站的密碼重置功能,便直接重置了網(wǎng)站管理員賬號,接著只需要修改網(wǎng)頁 URL,就能夠看到本田旗下所有經(jīng)銷商的資料,包括讀取客戶郵件資訊,乃至直接修改網(wǎng)站及產(chǎn)品信息。
他同時還在 Angular-based 經(jīng)銷商網(wǎng)站的管理員頁面中,找到了一個“偽造身份”漏洞,使其得以冒充本田管理員,獲取到了所有經(jīng)銷商網(wǎng)站資料,包括客戶關(guān)系架構(gòu)圖、訂閱網(wǎng)站服務(wù)的經(jīng)銷商數(shù)量、企業(yè)總收入金額等信息。
Zveare 表示,自己通過本田網(wǎng)站的漏洞,得到了從 2016 年 8 月到今年 3 月高達(dá) 2.1 萬個客戶資料、1 萬余個客戶郵件地址、1000 多筆經(jīng)銷商郵件地址、2000 多個經(jīng)銷商網(wǎng)站、3,600 筆經(jīng)銷商賬號的 Paypal 付款地址以及內(nèi)部財務(wù)報表等。
IT之家注意到,截至發(fā)稿,本田集團(tuán)已經(jīng)修復(fù)了這些漏洞,但目前沒有做出任何官方性的回應(yīng)。
標(biāo)簽: