您的位置:首页 >综合 > 24小时快讯 >   正文

任何人都可以访问本田客户数据

导读 如果您曾经购买过本田割草机,那么您的个人信息可能会泄露给恶意第三方。这是一位网络安全研究人员的说法,他发现本田电子商务平台存在致命...

如果您曾经购买过本田割草机,那么您的个人信息可能会泄露给恶意第三方。这是一位网络安全研究人员的说法,他发现本田电子商务平台存在致命缺陷,随后滥用该平台来获取大量敏感客户数据。

据BleepingComputer报道,本田的汽车和其他部门没有受到影响;仅草坪和花园硬件平台被发现存在缺陷。

该研究人员(最近发现属于丰田的不安全数据库的研究人员)表示,密码重置API允许他重置有价值帐户的密码,并使用它们访问本田经销商子域中的管理级信息。

但测试帐户没有所有必要的数据-他仍然需要访问实际帐户。事实证明这非常容易,他在没有惊动任何人的情况下成功完成了任务。由于平台上的用户ID是按顺序分配的,他所要做的就是将用户ID加1,直到没有任何其他结果为止。

“只需增加该ID,我就可以访问每个经销商的数据。底层JavaScript代码会获取该ID,并在API调用中使用它来获取数据并将其显示在页面上。值得庆幸的是,这一发现使得不再需要重置密码变得毫无意义。”。研究员伊顿·兹维尔说。

最后,在修改HTTP响应以使其看起来像是管理员后,他获得了本田管理面板的访问权限,这反过来又使他能够无限制地访问其中包含的敏感数据。

免责声明:本文由用户上传,如有侵权请联系删除!