本田电商平台安全漏洞风险

关键要点

本田电商平台因密码重置API漏洞暴露大量客户数据。漏洞由安全研究员Eaton Zveare发现，涉及21393份客户订单和多项内部文件。本田已采取措施修复这些安全风险。

本田因其电力设备电商平台存在密码重置API安全漏洞，导致客户信息和其他文档暴露。这些信息的泄露是由于安全研究员Eaton Zveare在本田的Power Equipment Tech Express网站上发现的漏洞。根据报告，泄露的数据包括2016年8月至2023年3月期间的21393份客户订单、11034个客户电子邮件、3588个经销商用户/账户、1570个经销商网站、1090个经销商电子邮件和内部财务报告。此外，经销商的Authorizenet、PayPal和Stripe私钥也可能遭到访问。

Zveare通过简单增加用户ID，任意访问了所有本田经销商的数据面板。他表示：“只需通过增加该ID，我就可以获得每个经销商的数据。底层的JavaScript代码会取用该ID并在API调用中使用，以获取数据并显示在页面上。值得庆幸的是，这一发现使得重置任何密码都不再必要。”他还在丰田的供应商门户网站发现了类似的漏洞。对于这些安全威胁，本田也已经采取了修复措施。

黑洞加速器官网

漏洞详细信息

类型数据量客户订单21393客户电子邮件11034经销商用户/账户3588经销商网站1570经销商电子邮件1090内部财务报告多个文档

本田电商平台的安全问题提醒我们，确保API的安全性对于保护客户数据是至关重要的。有关更多详细信息，可以访问BleepingComputer。