近日,全球知名汽車製造商寶馬陷入了雲儲存安全危機。 研究人員Can Yoleri報告說,在一次例行掃瞄中,他意外地發現寶馬的雲儲存伺服器(也稱為“儲存桶”)配置錯誤,並設定為公共訪問狀態,而不是預期的私有狀態。 這個嚴重的配置錯誤將寶馬的私鑰、內部資料和其他敏感資訊暴露在公眾面前。
在詳細報告中,Yoleri 指出,配置錯誤的儲存桶包含大量敏感資訊,包括對 Azure 容器的訪問資訊、訪問私有儲存伺服器位址的金鑰以及與 BMW 雲服務相關的其他詳細資訊。 這些資訊的洩露無疑為潛在的攻擊者提供了破壞寶馬雲服務的捷徑。
據 TechCrunch 報道,暴露的資料包括寶馬在中國、歐洲和美國的雲服務的私鑰,以及生產和開發資料庫的登入憑據。 雖然目前尚不清楚究竟暴露了多少資料,但這一事件無疑對寶馬的資訊保安構成了嚴重威脅。
寶馬回應了此事,確認資料洩露確實影響了基於儲存開發環境的Microsoft Azure Buckets。 寶馬發言人表示,該事件不涉及客戶或個人資料,該公司已在2024年初解決了該問題,並將繼續與合作夥伴一起監控情況,以防止類似事件再次發生。
然而,儘管寶馬表示已經解決了這個問題,但研究人員Yoleri指出,寶馬尚未撤銷或更改在暴露的雲儲存伺服器中發現的密碼和憑據集。 這種情況引發了對寶馬資訊保安措施的深刻質疑。
值得注意的是,這並不是汽車巨頭最近發生的唯一資料安全事件。 此前,另一家知名汽車製造商梅赫西迪-賓士也曝光了類似的安全問題。 據報道,安全實驗室 RedHunt 從梅赫西迪-賓士員工的儲存庫中發現了 GitHub 私鑰,該儲存庫可以訪問梅赫西迪-賓士的所有內部 GitHub 伺服器。
這兩起事件凸顯了汽車行業在數位化轉型過程中面臨的資訊保安挑戰。 隨著汽車行業的不斷發展以及雲服務、大資料、人工智慧等技術的廣泛應用,汽車製造商的資訊保安壓力越來越大。 如何在保障業務發展的同時保障資訊保安,已成為汽車行業亟待解決的問題。
針對這一問題,業內專家建議,車企應加強資訊保安的日常管理,提高員工的資訊保安意識,定期進行安全漏洞掃瞄和風險評估,及時發現和修復潛在的安全問題。 同時,雲服務提供商也應加強自身的安全管理和保護措施,確保客戶資料的安全。
總的來說,這兩起事件給整個汽車行業敲響了警鐘。 在推進數位化轉型的同時,車企必須高度重視資訊保安,確保使用者資料的安全和私隱。 只有這樣,我們才能在激烈的市場競爭中立於不敗之地。
優質作者名單