研究人員發現本田汽車母公司本田集團電商網站的一項API重設功能漏洞,可能讓駭客得以存取客戶訂單、經銷商及客戶電子郵件、以及財務資料等。
研究人員Eaton Zveare今年3月在本田集團銷售三個銷售海事及事機具(動力機具、海事及園藝設備)的經銷商電商網站(hondadealersites.com)發現此一漏洞。漏洞位於這些網站的密碼重設API,讓研究人員進而獲取本田網站管理員帳號,並一覽網站上的客戶及經銷商資料。
Zveare先是利用電商網站的密碼重設功能,重設本田公開的測試帳號,使其得以登入這些電商網站。接著,網站上的直接物件參照(direct object reference)漏洞,使其只要變更URL的序列數字,即可存取所有經銷商的資料,包括讀取客戶郵件資訊,或變更或編輯網站及產品資料,連駭入帳號都不必。最後,他在Angular-based經銷商網站的管理員儀表板頁,還找到偽造身份漏洞,使其得以冒充本田管理員存取所有經銷商網站資料,包括3層式架構、訂閱網站服務的經銷商數量及總收入金額等。
利用種種漏洞,研究人員一共找到從2016年8月到今年3月的2.1萬筆客戶訂單資訊,包括客戶姓名、住址、電話及訂購商品、1萬多筆客戶電郵信箱、近1,600個經銷商網站、近3,600筆經銷商帳號、1,000多筆經銷商電郵、可能的電子支付服務(如Stripe、Paypal或Authorize.net)以及內部財務報表等。
在經過通報後,本田集團已解決這些漏洞。這些漏洞不影響本田汽車。
研究人員建議網站管理員,應小心實作密碼重設,避免曝露不安全的管理員API。此外也應實作適當的存取控管,留心每個驗證服務發出去的令牌都可能被用來存取API端點,並避免序列式的URL邏輯。最後,他提醒以React或Angular撰寫的單頁式Web App要留心,用戶瀏覽器可以看到所有程式碼,因此必須小心程式碼包含的資訊。
文章中雖然已解決漏洞,但仍需注意日後的處理,避免再度發現重大漏洞造成資料外洩,以避免不可挽回的後果,而人們在網路上購買東西時也應多加注意,勿在來路不明的網站上購買,以免洩漏個人的重要資料。
詳文請見iThome文新聞稿