【#本田官網現重大漏洞#,可從中擷取經銷商及客戶資訊】
6月9日消息,研究人員發現本田汽車母公司本田集團電商網站存在一項 API 漏洞,可能讓黑客得以從中擷取客戶及經銷商的訂單、電子郵件、财務等資料資訊。
研究人員 Eaton Zveare 表示,自己使用網站的密碼重置功能,便直接重置了網站管理者賬号,接着隻需要修改網頁 URL,就能夠看到本田旗下所有經銷商的資料,包括讀取客戶郵件資訊,乃至直接修改網站及産品資訊。
他同時還在 Angular-based 經銷商網站的管理者頁面中,找到了一個“僞造身份”漏洞,使其得以冒充本田管理者,擷取到了所有經銷商網站資料,包括客戶關系架構圖、訂閱網站服務的經銷商數量、企業總收入金額等資訊。
Zveare 表示,自己通過本田網站的漏洞,得到了從 2016 年 8 月到今年 3 月高達 2.1 萬個客戶資料、1 萬餘個客戶郵件位址、1000 多筆經銷商郵件位址、2000 多個經銷商網站、3,600 筆經銷商賬号的 Paypal 付款位址以及内部财務報表等。(IT之家)
