安全研究人员伊顿 · 兹维尔（Eaton Zveare）公开了对本田电动商务平台（用于动力设备、船舶和园艺产品）发现的重大漏洞的具体细节。

该漏洞使得任何人都可以重置任何账户的密码，因此存在未经授权的访问风险。

这位研究人员在今年年初发现了这些安全漏洞和数据泄露问题，并于三月中旬通知了本田公司他的发现。

供应商立即承认了这些问题，并对这位白帽黑客的努力表示了祝贺，但由于缺乏漏洞赏金计划，未对他进行任何赔偿。

" 我通过利用一个密码重置的 API 成功入侵了本田的动力设备 / 船舶 / 园艺经销商电子商务平台，可以轻松重置任何账户的密码，" 研究人员说道。

" 破损 / 缺失的访问控制使得即使作为测试账户登录，也能访问平台上的所有数据。"

该平台推动了本田经销商网站服务，允许经销商构建销售本田商品的网站。经销商在创建账户后，将获得一切所需资源来建设网站、进行市场营销和管理产品订单。

研究人员在管理员控制面板中发现了一个密码重置 API 漏洞，使他能够更改本田测试账户的密码。

自 2016 年 8 月至 2023 年 3 月，涵盖所有经销商的 21,393 个客户订单，包括客户姓名、地址、电话号码和订购的物品。

1,570 个经销商网站（其中 1,091 个是活跃的），可以修改其中任意一个网站。

可能还包括一些经销商提供的 Stripe、PayPal 和 Authorize.net 的私钥。

该研究人员提到，"powerdealer [ . ] honda.com" 子域名是由 Honda 的电子商务平台授予授权经销商和经销商的，其中包含 API 问题。

他发现 Honda 网站上的 Power Equipment Tech Express ( PETE ) 密码重置 API 在没有令牌或先前密码的情况下执行重置请求，只需要一个有效的电子邮件。

尽管电子商务子域名登录门户上不存在此漏洞，但任何人都可以使用这种简单的攻击方式访问内部经销商数据，因为在 PETE 网站上更改的凭据仍然可以在那里使用。

研究人员从一个 YouTube 视频中获得了一个合法的经销商电子邮件地址，该视频展示了如何使用测试账户访问经销商仪表板。

研究人员解释道：" 该平台为订单、站点等所有内容分配了数字 ID。这些 ID 是顺序的，因此只需在当前 ID 上加 1 即可进入下一个记录。" 他发现通过修改该 ID，可以访问不同经销商的仪表板。浏览器地址栏显示了分配给每个经销商网站的 ID。

为当前 ID 添加 +1 会将您带到下一条记录

最后阶段的操作是获取对本田汽车的管理面板的访问权限，该面板是公司电子商务平台的主要管理界面。

通过修改 HTTP 响应，使其看起来像自己是管理员，研究人员获得了对本田经销商网站平台的无限制访问权限。

研究人员表示，利用超过 21,000 个客户订单的访问权限，可以开展高度针对性的网络钓鱼攻击，欺骗客户提交更敏感的数据，或试图在他们的设备上安装恶意软件。

此外，超过 1,000 个活动网站可能已被秘密更改，包含危险的恶意软件，如信用卡窃取器和加密货币挖矿程序。