任何人都可以访问本田客户数据

如果您曾经购买过本田割草机，那么您的个人信息可能会泄露给恶意第三方。这是一位网络安全研究人员的说法，他发现本田电子商务平台存在致命缺陷，随后滥用该平台来获取大量敏感客户数据。

据BleepingComputer报道，本田的汽车和其他部门没有受到影响;仅草坪和花园硬件平台被发现存在缺陷。

该研究人员(最近发现属于丰田的不安全数据库的研究人员)表示，密码重置API允许他重置有价值帐户的密码，并使用它们访问本田经销商子域中的管理级信息。

但测试帐户没有所有必要的数据-他仍然需要访问实际帐户。事实证明这非常容易，他在没有惊动任何人的情况下成功完成了任务。由于平台上的用户ID是按顺序分配的，他所要做的就是将用户ID加1，直到没有任何其他结果为止。

“只需增加该ID，我就可以访问每个经销商的数据。底层JavaScript代码会获取该ID，并在API调用中使用它来获取数据并将其显示在页面上。值得庆幸的是，这一发现使得不再需要重置密码变得毫无意义。”。研究员伊顿·兹维尔说。

最后，在修改HTTP响应以使其看起来像是管理员后，他获得了本田管理面板的访问权限，这反过来又使他能够无限制地访问其中包含的敏感数据。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！