Honda電商平台安全漏洞　曝露客戶和經銷商資料

編譯／陳佩君

名為Eaton Zveare的美國研究人員早在今年年初發現Honda電商平台資訊安全漏洞和資料外洩問題，並於三月中旬通知Honda，該公司立即採取措施解決問題，並且表示該平台未發現任何惡意利用的證據。

Honda以汽車聞名，但Zveare分析該電商平台是專為銷售動力設備如發電機、泵浦、割草機，以及船舶引擎和配件而設計的。平台提供經銷商網站服務，可以通過平台銷售Honda產品，而經銷商需建立帳戶，然後建立網站、推廣產品並處理產品訂單。研究人員在管理儀表板中發現一個重置密碼的API漏洞，能重置在平台設置的測試帳戶密碼，還發現一個不安全的直接對象引用（Insecure Direct Object reference，IDOR）漏洞其為越權漏洞，只需更改管理面板URL中的ID值，就能訪問每位經銷商的資料。

Zveare表示，他已經獲得從2016年到2023年的超過21,000筆客戶訂單，包括姓名、地址、電話號碼和訂購項目的資訊，而這些漏洞更暴露1,500個可能被攻擊者修改的經銷商網站。此外，還發現超過3,500個經銷商帳戶，他可以更改其密碼，大約1,000個經銷商的電子郵件地址，以及11,000個客戶的電子郵件地址，推測還可能獲得一些經銷商提供的支付服務的私鑰，如PayPal、Stripe和Authorize.net。

研究人員在關於潛在影響部落格文章寫道，透過超過21,000筆客戶訂單的訪問，可創造高度有針對性的釣魚活動，試圖欺騙客戶提供更有價值的資訊，或嘗試在他們的設備上安裝惡意軟體。另一種可能性是每天檢查新的Honda訂單並發送釣魚郵件給客戶，偽裝成「註冊您的新本田產品」或「您輸入的信用卡號碼有誤，點擊此處進行更正」等。在一些敏銳的經銷商可能會發現此類網站變化，但他們可能會歸咎於自己被駭客攻擊，並更改他們的經銷商帳戶密碼。不幸的是，經銷商無法防止他們的網路商店受到這種攻擊。

這項漏洞被發現引起廣泛的關注，並強調企業在維護數據安全和保護客戶隱私方面的重要性。然而，這一事件提醒其他企業也要重視自身的數據安全措施，以確保顧客資料的保密性和完整性。

資料來源：SecurityWeek

瀏覽 529 次