汽車巨頭數據泄露，云資源配置失誤成罪魁禍首？

近日，據知名科技媒體TechCrunch披露，寶馬公司遭遇了一起嚴重的云存儲服務器配置失誤事件，導致大量敏感信息慘遭泄露。

據悉，這起事件源于微軟Azure托管存儲服務器的一項配置錯誤，使得原本應該受到嚴格保護的存儲桶被錯誤地設置為公共訪問狀態。

SOCRadar的安全研究員Can Yoleri在進行例行安全掃描時偶然發現了這一漏洞。他震驚地發現，存儲桶中竟然包含了寶馬公司的私鑰、內部數據以及其他重要信息。這些敏感數據不僅涉及寶馬在全球范圍內的云服務私鑰，還包括了生產和開發數據庫的登錄憑證。

此次泄露事件的嚴重性不言而喻。私鑰的泄露意味著攻擊者可能利用這些密鑰非法訪問和控制與寶馬相關的云服務，進而竊取更多敏感信息或進行惡意操作。而內部數據的暴露則可能給寶馬公司帶來商業機密泄露、客戶隱私受損等一系列嚴重后果。

目前，尚無法確定具體有多少數據被泄露以及這些數據在互聯網上暴露的時間。

而在2月早些時候，Cybernews 研究人員偶然發現BMW Italy官方網站托管的未受保護的.env和 .git 配置文件。環境文件 (.env) 存儲在本地，包括有關生產和開發環境的數據。

研究人員指出，雖然這些信息不足以讓攻擊者破壞網站，但它們可用于偵察——秘密發現和收集有關系統的信息。

數據可能導致網站遭到入侵或將攻擊者引向客戶信息存儲及其訪問方式。向公眾公開的 .git 配置文件允許攻擊者找到其他可利用的漏洞，包含站點源代碼的 .git 存儲庫。

“這一發現表明，即使是知名和值得信賴的品牌也可能具有嚴重不安全的配置，從而允許攻擊者破壞他們的系統以竊取客戶信息或通過網絡橫向移動。來自此類來源的客戶信息對網絡犯罪分子來說尤其有價值，因為豪華汽車品牌的客戶通常有更多可能被盜的資產?！盋ybernews 研究團隊表示。

2月1日，外媒消息，梅賽德斯-奔馳由于沒有妥善處理 GitHub 私鑰，導致外界可不受限制地訪問內部 GitHub 企業服務，而且整個源代碼都被泄露出來。

事情起因是 RedHunt 實驗室的研究人員同樣在搜索時候，在屬于 Mercedez 員工的公共倉庫中發現了一個 GitHub 私鑰，該私鑰可訪問公司內部的 GitHub 企業服務器。

RedHunt 實驗室的報告指出，利用該 GitHub 私鑰，可以“不受限制”和“不受監控”地訪問托管在內部 GitHub 企業服務器上的全部源代碼。

這次事件暴露了存放大量知識產權的敏感存儲庫，被泄露的信息包括數據庫連接字符串、云訪問密鑰、藍圖、設計文檔、SSO 密碼、API 密鑰和其他重要內部信息。

正如研究人員解釋的那樣，公開暴露這些數據的后果可能很嚴重。源代碼泄露可能導致競爭對手對專有技術進行反向工程，或黑客對其進行仔細檢查，以發現汽車系統中的潛在漏洞。

僅僅在一個月的時間內，兩家國際汽車公司就出現多起安全問題，值得我們關注。

其中兩次安全問題都是研究人員在定期審查和監控中發現的，而且這幾個安全問題也完美得踩中了云資源配置的“日?？印保捍鎯ν皺嘞拊O置不當和弱密碼和密鑰管理不善。Gartner 2019年的一項調查顯示， 80% 的數據泄露是由錯誤配置造成的，預計到2025年這一數字將超過90%。而在今年1月底，由于配置更改，微軟Azure崩了，這也讓業界對配置問題有了更深的認識。

因此，小編采訪到了云安全的相關專家，為防止云資源配置錯誤，給出了一些具體的建議：

了解云服務和配置：在使用云服務之前，務必深入了解所提供的服務和其配置選項。這包括了解云服務的安全特性、配置方法以及潛在的安全風險。通過與云服務提供商的溝通，確保你清楚了解如何正確配置云服務以滿足你的安全需求。

最小權限原則：為云資源分配權限時，應遵循最小權限原則。這意味著只授予用戶或應用程序執行其任務所需的最小權限。通過限制不必要的訪問權限，可以減少潛在的安全風險。

定期審查和監控：定期審查和監控云資源的配置和訪問日志是至關重要的。這可以幫助你及時發現任何未經授權的訪問或配置更改，并采取相應的措施進行修復。使用云服務提供商提供的監控工具和日志分析工具，可以更輕松地完成這些任務。

自動化配置管理：使用自動化工具來管理云資源的配置可以減少人為錯誤的風險。這些工具可以幫助你確保配置的一致性，并在需要時自動應用安全更新和補丁。

強化身份驗證和訪問控制：確保使用強密碼策略、多因素身份驗證和訪問控制列表等安全措施來保護云資源。這將有助于防止未經授權的訪問和潛在的惡意活動。

定期更新和備份：定期更新云服務和應用程序，以確保你使用的是最新和最安全的版本。同時，定期備份云資源的數據和配置也是非常重要的。在發生安全事件或意外情況時，備份可以幫助你快速恢復數據和配置。

審核編輯：黃飛