近日,本田被曝存在API漏洞,客户数据正处于高风险状态。由于利用API漏洞可以重置任何帐户的密码,所以本田的电力设备、船舶、草坪和花园电子商务平台等都极易遭到外部人员的入侵。
几个月前,一位化名Eaton Works的安全研究人员发现了本田系统的安全漏洞,他利用该漏洞入侵了本田的供应商门户网站。
Eaton Works利用了一个密码重置API重置了那些本田内部有价值的账户的密码,然后在公司的网络上进行了不受限制的管理级数据访问。
研究人员称:访问控制的破坏或缺失使得访问平台上的所有数据成为可能,即使是以测试帐户登录也是如此。
以下这些信息不仅暴露给了安全研究人员,还极可能暴露给了那些利用相同漏洞入侵的威胁行为者:
曝光的客户邮件(eaton-works.com)
上述数据可能被用于发起网络钓鱼活动、社会工程攻击,或直接被人在黑客论坛和暗网市场上出售。此外,通过访问经销商网站,攻击者还可以植入信用卡刷卡程序或其他恶意JavaScript代码片段。
能够编辑页面内容(eaton-works.com)
EatonWorks解释说,API漏洞存在于本田的电子商务平台,该平台将“powerdealer.honda.com”子域名分配给注册经销商/经销商。
研究人员发现,本田有一个网站的电力设备技术快车(PETE)密码重置API在处理重置请求时不需要令牌或之前的密码,只需要有效的电子邮件即可。
虽然在电子商务子域登录门户上不存在此漏洞,但通过PETE站点切换的凭据仍然可以对它们起作用,因此任何人都可以通过这种简单的攻击访问内部经销商数据。
密码重置API请求发送到PETE (eaton-works.com)
唯一缺失的部分是拥有一个属于经销商的有效电子邮件地址,研究人员从YouTube视频中获取了该电子邮件地址,该视频展示了使用测试帐户的经销商面板。
YouTube视频曝光测试账号邮箱
除了测试账户,下一步就是从真正的交易商那里获取信息。但最好是在不中断操作的情况进行,这样就不必重新设置数百个帐户的密码。
研究人员发现的解决方案是利用第二个漏洞,即平台中用户id的顺序分配和缺乏访问保护。
这使得任意访问所有本田经销商的数据面板成为可能,具体方法就是将用户ID增加1,直到没有任何其他结果。
研究人员称:只要增加ID就可以访问每个经销商的数据。底层JavaScript代码接受该ID,并在API调用中使用它来获取数据并在页面上显示。而值得庆幸的是,这个操作能让重新设置密码变得没什么实际效用。
增加用户ID号码以访问所有经销商面板(eaton-works.com)
值得注意的是,本田的注册经销商可能会利用上述漏洞访问其他经销商的面板,进而访问他们的订单、客户详细信息等。最后一步就是访问本田的管理面板,因为这是该公司电子商务平台的中央控制点。
研究人员通过修改HTTP响应假扮管理员访问该面板,从而实现无限制地访问本田经销商网站平台。
本田经销商网站管理面板(eaton-works.com)
有关上述这个漏洞的相关问题是在今年3月16日报告给了本田,到今年4月3日,所有问题都已得到妥善解决。
通联支付刷卡交易没到账怎么办
可前往办卡银行进行问询。 一般在交易签购单已经打印出来的情况下,资金都会通过银联的跨行清算,因此可能是清算银行的原因。 需要2到4天。 同时受制于交易性质的问题,如果是公对私,需要的时间更久,在一星期左右。 还有一个可能性是账户因为某个原因被冻结了,是这种情况,建议把小票打印出来核对后,拿着完整的小票和机具,到通联问询,进行核对,追回资金。 询问一下你的发卡银行。 看一下是不是农行之类的,一般有些银行会进行风险控制,拨打你发卡行的客服电话询问一下。 其次看一下你的是对公账户转到私人账户,这种情况也会比较慢。 一般容易出现这种请况的有民生,各个城市商业银行还有邮政农村信用社以及农行。 只要你有签购单,并且持卡人签名这个就是对账依据。 因为一些银行目前为止还有些事手工入账可能造成以往这些的在你提醒之后会按照银行进度处理。 扩展资料:“为企业、个人的支付、转账等业务提供技术平台、软件开发和相关专业化服务;从事计算机软件服务,计算机系统的设计、集成、安装、调试和管理;数据处理及相关技术业务处理服务;广告设计、制作、代理,利用自有媒体发布广告。 经济贸易咨询服务;自有设备租赁;计算机、软件及辅助设备、电子产品销售;金融自助设备运营管理维护服务及技术咨询服务。 ”主要业务通联支付公司的主要业务分为行业综合支付服务和金融外包服务。 客户范围除银行和传统的百货超市餐饮商户企业外,还包括基金、保险、航空、物流、医疗、休闲等行业合作伙伴和若干大型集团企业客户。 参考资料:通联支付网络百科通联支付官网帮助中心
信用卡什么的利润多?》
信用卡行业不应单纯地追求发卡量与使用量,信用卡的发行和使用都必须服从于商业模型所规定的利润目标。 在我国,目前信用卡业务仍由商业银行经营,商业银行既是发卡行也是收单行。 以下从发卡行和收单行两个方面探讨信用卡的盈利模式.利息收入即持卡人对未清偿信用卡余额所付的利息;信息交换收入即收单行向发卡行支付的占特约商户交易金额一定百分比的费用;持卡人年费即持卡人因获得使用信用卡的权利而向发卡行缴纳的费用;其他手续费和所得即包括从其他各种信用卡服务中产生的手续费与收入,如预借现金手续费、挂失手续费、快速发卡手续费、补制交易密码函手续费等;资金成本即发卡行为融得银行信用卡资产组合中未清偿的资金余额而必须支付的利息成本;损失即包括坏账损失、信用卡欺诈损失等;服务费用即前端和客户接触所产生的费用;交易处理成本即后台因客户服务所产生的费用。 特约商户回佣即收单行因为特约商户提供交易处理并承担信用风险而向特约商户收取的费用;存款利息收益即从特约商户的存款账户中取得的存款利息收益;其他收入即出租POS及压卡机的收入等。 在信用卡业务的利润中,78%来自信贷利息收入,10%来自交换费,2%来自年费,4%来自现金提取费,6%为迟缴和其他收入(广告费用等)。 也有一些单位将盈利的方向集中于违约和超额度罚款方面,从而形成了一种新的信用卡商业模式。 这种盈利模式是发卡行针对申请消费贷款有困难的消费者发行的信用额度低的信用卡。 一方面,低信用额度导致持卡人容易违约和超额度使用,从而增加了罚款收入;另一方面,低信用额度又能降低个人和总体的信用风险。
达州期货开户怎么办理? 达州股指期货怎么开户?
对于开户其实很简单,只要身份证和银行卡就可以办理了,如果办理股指期货是必须到期货公司现场才行,商品期货一般都是期货公司的开户人员上门办理,开户选期货公司最重要的就三点①手续费低;②交易软件速度快且齐全;③经纪人服务好。 说起服务你倒要注意了,你是新手,这一块儿非常重要,期货比股票风险大,处处都得小心,期货公司大小都没多大关系,而你的经纪人懂多少能为你提供多少信息与服务这才是关键,还有手续费也都得通过你的经纪人才能调整,在做期货的几年里让我感觉最深的就是这一块儿,选择一个好的经纪人比选一个大的公司要好很多,我刚开始学做期货的时候就吃了大亏,找了家大公司,手续费高还没对应的服务,结果做了半年还不知道怎么亏的钱,后来遇到了现在的经纪人,首先把手续费调了下来,有不明白的我都问他,慢慢的也开始走向稳定,所以你做期货一定要注意这方面
发表评论