本田集團電商網站漏洞洩露客戶資訊

本田集團電商網站漏洞洩露客戶資訊

本田集團是家日本跨國企業,以生產汽車、機器人、發電機等產品而聞名。最近本田集團的電商網站被發現有漏洞,導致客戶資訊洩露,引起各方關注與擔憂。

本田集團電商網站概述

本田集團的電商網站是一個提供汽車零件、配件、服務等產品的平台,用戶可以通過該網站購買相關產品。然而,最近該網站出現漏洞,導致大量客戶資訊被外部人員取得。

本田集團電商網站存在安全漏洞

研究人員發現本田汽車母公司本田集團的電商網站有一項API重設功能的漏洞,可能使駭客能夠存取客戶訂單、經銷商及客戶的電子郵件和財務資料等敏感信息。

漏洞發現及攻擊方式

研究人員Eaton Zveare在本田集團的三個銷售海事及事機具的經銷商電商網站上發現了這一漏洞。該漏洞位於密碼重設API,使得研究人員能夠獲取本田網站的管理員帳號,並查看網站上的客戶和經銷商的資料。研究人員利用密碼重設功能和直接物件參照漏洞,無需入侵帳號,就能存取所有經銷商的資料,包括客戶郵件、網站資料和財務報表等。

資料外洩的影響

利用這些漏洞,研究人員獲取了從2016年8月到今年3月的2.1萬筆客戶訂單資訊,包括客戶姓名、住址、電話、訂購商品,還有1萬多個客戶的電子郵件、近1,600個經銷商網站、近3,600筆經銷商帳號、1,000多個經銷商的電子郵件,以及可能涉及的電子支付服務和內部財務報表等數據。

建議的解決方法

在漏洞被報告提出後,本田集團宣布已解決上述漏洞問題,並保證本田汽車不受影響。此研究人員建議網站管理員在實作密碼重設功能時需謹慎小心,避免曝露不安全的管理員API。同時,他們還建議實施適當的存取控制,注意驗證服務發出的令牌可能被用來存取API端點,並避免使用序列式的URL邏輯。對於使用React或Angular開發的單頁式Web應用程式,也要注意用戶可以看到程式碼,因此應小心處理包含在程式碼中的資訊。最後,提醒大家,就在上周,豐田汽車也曝出雲端系統配置問題,導致26萬日本車主和海外經銷商的車輛和維修資訊在公開網路上曝露,這對亞洲車主造成了不詳的影響。