近日,相關安全研究人員在日本汽車制造商本田動力裝置(電力、船舶、草坪和花園裝置)的電商平台上發現了一個重大的API漏洞。這一漏洞使攻擊者有機會為任何帳戶重置密碼,進而通路本田動力裝置電子商務平台,在竊取使用者資料的同時,還可以對客戶資料、經銷商資訊以及網站資料等進行惡意操作和修改。
雖然目前該漏洞,還沒有發現被攻擊者利用。但就在數月前,相關安全研究人員就曾利用類似的漏洞成功滲透了本田的供應商門戶。
可見該問題已經影響到了本田公司乃至其供應鍊,根據相關安全研究人員透露出來的資訊,我們發現通過該漏洞,潛在攻擊者可以獲得以下敏感資訊:
從2016年8月到2023年3月的所有經銷商的21393份客戶訂單——包括客戶姓名、位址、電話号碼和訂購的物品資訊。
1570個經銷商網站(其中1091個處于活動狀态)。攻擊者可修改這些站點中的任何一個(的管理頁面)。
3588個經銷商使用者/帳戶(包括名字和姓氏、電子郵件位址)。攻擊者可以更改任何這些使用者的密碼。
1090個經銷商電子郵件(包括名字和姓氏)。
11034封客戶電子郵件(包括名字和姓氏)。
可能洩露資訊包括:本田經銷商的Stripe、PayPal和Authorize.net私鑰。
内部财務報告。
上述資料不僅可以用于發起網絡釣魚活動、社會工程攻擊,還可以在黑客論壇和暗網市場上出售。
面對以上情況,如果本田公司還未采取安全手段,将會面臨嚴重的網絡威脅。攻擊者不僅會盜取網站敏感資訊,還可以随意修改網站内容,對于本田公司來說将會面臨巨大的損失。
而采用相對應的網絡安全産品,将會幫助本田公司,渡過難關。在今天的網絡世界中,網絡安全産品已成為保護公司、使用者和敏感資料的關鍵。針對本田動力裝置平台的API漏洞事件,我們可以采用防篡改和Web應用防火牆(WAF)來進行安全防護。
防篡改裝置可以有效預防和檢測對系統的非法修改,以便保護關鍵資料和系統配置。這類裝置可以檢測到惡意代碼和未經授權的更改,當發現任何異常時,會立即采取相應措施并報告給管理者,進而減少潛在的威脅。
Web應用防火牆(WAF)是一種安全解決方案,用于保護網站和網絡應用免受不同類型的網絡攻擊,如跨站腳本攻擊(XSS)、SQL注入攻擊和API漏洞攻擊等。WAF可以在HTTP請求之間作為過濾器,對傳入和傳出的資料進行檢查,并根據預定義的規則攔截異常請求。這有助于確定隻有授權使用者能夠通路應用程式,防止黑客擷取敏感資料并保護系統免受損害。
針對本田動力裝置平台的API漏洞事件,公司除了及時采取措施修複問題外,還應該強化網絡安全措施,部署防篡改和WAF以防範未來的類似攻擊。同時,企業和使用者也需要提高安全意識,定期更新軟體,加強密碼管理和通路控制,以降低安全風險。