宝马数据泄露，云资源配置的锅？

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

近日，据知名科技媒体TechCrunch披露，宝马公司遭遇了一起严重的云存储服务器配置失误事件，导致大量敏感信息惨遭泄露。

据悉，这起事件源于微软Azure托管存储服务器的一项配置错误，使得原本应该受到严格保护的存储桶被错误地设置为公共访问状态。

SOCRadar的安全研究员Can Yoleri在进行例行安全扫描时偶然发现了这一漏洞。他震惊地发现，存储桶中竟然包含了宝马公司的私钥、内部数据以及其他重要信息。这些敏感数据不仅涉及宝马在全球范围内的云服务私钥，还包括了生产和开发数据库的登录凭证。

此次泄露事件的严重性不言而喻。私钥的泄露意味着攻击者可能利用这些密钥非法访问和控制与宝马相关的云服务，进而窃取更多敏感信息或进行恶意操作。而内部数据的暴露则可能给宝马公司带来商业机密泄露、客户隐私受损等一系列严重后果。

目前，尚无法确定具体有多少数据被泄露以及这些数据在互联网上暴露的时间。

而在2月早些时候，Cybernews 研究人员偶然发现BMW Italy官方网站托管的未受保护的.env和 .git 配置文件。环境文件 (.env) 存储在本地，包括有关生产和开发环境的数据。

研究人员指出，虽然这些信息不足以让攻击者破坏网站，但它们可用于侦察——秘密发现和收集有关系统的信息。

数据可能导致网站遭到入侵或将攻击者引向客户信息存储及其访问方式。向公众公开的 .git 配置文件允许攻击者找到其他可利用的漏洞，包含站点源代码的 .git 存储库。

“这一发现表明，即使是知名和值得信赖的品牌也可能具有严重不安全的配置，从而允许攻击者破坏他们的系统以窃取客户信息或通过网络横向移动。来自此类来源的客户信息对网络犯罪分子来说尤其有价值，因为豪华汽车品牌的客户通常有更多可能被盗的资产。”Cybernews 研究团队表示。

2月1日，外媒消息，梅赛德斯-奔驰由于没有妥善处理 GitHub 私钥，导致外界可不受限制地访问内部 GitHub 企业服务，而且整个源代码都被泄露出来。

事情起因是 RedHunt 实验室的研究人员同样在搜索时候，在属于 Mercedez 员工的公共仓库中发现了一个 GitHub 私钥，该私钥可访问公司内部的 GitHub 企业服务器。

RedHunt 实验室的报告指出，利用该 GitHub 私钥，可以“不受限制”和“不受监控”地访问托管在内部 GitHub 企业服务器上的全部源代码。

这次事件暴露了存放大量知识产权的敏感存储库，被泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他重要内部信息。

正如研究人员解释的那样，公开暴露这些数据的后果可能很严重。源代码泄露可能导致竞争对手对专有技术进行反向工程，或黑客对其进行仔细检查，以发现汽车系统中的潜在漏洞。

仅仅在一个月的时间内，两家国际汽车公司就出现多起安全问题，值得我们关注。

其中两次安全问题都是研究人员在定期审查和监控中发现的，而且这几个安全问题也完美得踩中了云资源配置的“日常坑”：存储桶权限设置不当和弱密码和密钥管理不善。Gartner 2019年的一项调查显示， 80% 的数据泄露是由错误配置造成的，预计到2025年这一数字将超过90%。而在今年1月底，由于配置更改，微软Azure崩了，这也让业界对配置问题有了更深的认识。

因此，小编采访到了云安全的相关专家，为防止云资源配置错误，给出了一些具体的建议：

了解云服务和配置：在使用云服务之前，务必深入了解所提供的服务和其配置选项。这包括了解云服务的安全特性、配置方法以及潜在的安全风险。通过与云服务提供商的沟通，确保你清楚了解如何正确配置云服务以满足你的安全需求。

最小权限原则：为云资源分配权限时，应遵循最小权限原则。这意味着只授予用户或应用程序执行其任务所需的最小权限。通过限制不必要的访问权限，可以减少潜在的安全风险。

定期审查和监控：定期审查和监控云资源的配置和访问日志是至关重要的。这可以帮助你及时发现任何未经授权的访问或配置更改，并采取相应的措施进行修复。使用云服务提供商提供的监控工具和日志分析工具，可以更轻松地完成这些任务。

自动化配置管理：使用自动化工具来管理云资源的配置可以减少人为错误的风险。这些工具可以帮助你确保配置的一致性，并在需要时自动应用安全更新和补丁。

强化身份验证和访问控制：确保使用强密码策略、多因素身份验证和访问控制列表等安全措施来保护云资源。这将有助于防止未经授权的访问和潜在的恶意活动。

定期更新和备份：定期更新云服务和应用程序，以确保你使用的是最新和最安全的版本。同时，定期备份云资源的数据和配置也是非常重要的。在发生安全事件或意外情况时，备份可以帮助你快速恢复数据和配置。

来源：ITPUB

更多文章

关于涉嫌仿冒AutoSec会议品牌的律师声明

一文带你了解智能汽车车载网络通信安全架构

网络安全：TARA方法、工具与案例

汽车数据安全合规重点分析

浅析汽车芯片信息安全之安全启动

域集中式架构的汽车车载通信安全方案探究

系统安全架构之车辆网络安全架构

车联网中的隐私保护问题

智能网联汽车网络安全技术研究

AUTOSAR 信息安全框架和关键技术分析

AUTOSAR 信息安全机制有哪些？

信息安全的底层机制

汽车网络安全

Autosar硬件安全模块HSM的使用

首发!小米雷军两会上就汽车数据安全问题建言：关于构建完善汽车数据安全管理体系的建议