IT之家 6 月 9 日消息,黑客戶信研究人員發現本田汽車母公司本田集團電商網站存在一項 API 漏洞,稱本可能讓黑客得以從中獲取客戶及經銷商的田官訂單、電子郵件、網現財務等資料信息。重大中獲
研究人員 Eaton Zveare 表示,取經自己使用網站的銷商息密碼重置功能,便直接重置了網站管理員賬號,及客接著只需要修改網頁 URL,黑客戶信就能夠看到本田旗下所有經銷商的稱本資料,包括讀取客戶郵件資訊,田官乃至直接修改網站及產品信息。網現
他同時還在 Angular-based 經銷商網站的漏洞管理員頁面中,找到了一個“偽造身份”漏洞,使其得以冒充本田管理員,獲取到了所有經銷商網站資料,包括客戶關系架構圖、訂閱網站服務的經銷商數量、企業總收入金額等信息。
Zveare 表示,自己通過本田網站的漏洞,得到了從 2016 年 8 月到今年 3 月高達 2.1 萬個客戶資料、1 萬余個客戶郵件地址、1000 多筆經銷商郵件地址、2000 多個經銷商網站、3,600 筆經銷商賬號的 Paypal 付款地址以及內部財務報表等。
IT之家注意到,截至發稿,本田集團已經修復了這些漏洞,但目前沒有做出任何官方性的回應。
魯ICP備11018988號-1 
