首页 > 综合 > 综合动态 >

任何人都可以访问本田客户数据

发布时间:2024-11-11 16:02:55来源:

如果您曾经购买过本田割草机,那么您的个人信息可能会泄露给恶意第三方。这是一位网络安全研究人员的说法,他发现本田电子商务平台存在致命缺陷,随后滥用该平台来获取大量敏感客户数据。

据BleepingComputer报道,本田的汽车和其他部门没有受到影响;仅草坪和花园硬件平台被发现存在缺陷。

该研究人员(最近发现属于丰田的不安全数据库的研究人员)表示,密码重置API允许他重置有价值帐户的密码,并使用它们访问本田经销商子域中的管理级信息。

但测试帐户没有所有必要的数据-他仍然需要访问实际帐户。事实证明这非常容易,他在没有惊动任何人的情况下成功完成了任务。由于平台上的用户ID是按顺序分配的,他所要做的就是将用户ID加1,直到没有任何其他结果为止。

“只需增加该ID,我就可以访问每个经销商的数据。底层JavaScript代码会获取该ID,并在API调用中使用它来获取数据并将其显示在页面上。值得庆幸的是,这一发现使得不再需要重置密码变得毫无意义。”。研究员伊顿·兹维尔说。

最后,在修改HTTP响应以使其看起来像是管理员后,他获得了本田管理面板的访问权限,这反过来又使他能够无限制地访问其中包含的敏感数据。

免责声明:本文为转载,非本网原创内容,不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。