近日,據知名科技**techcrunch報道,寶馬遭遇了嚴重的雲儲存伺服器配置錯誤,導致大量敏感資訊洩露。
據報道,該事件源於 Microsoft 的 Azure 託管儲存伺服器中的配置錯誤,該錯誤導致本應受到嚴格保護的儲存桶被錯誤地設定為公共訪問狀態。
SocRadar 的安全研究員 Can Yoleri 在進行例行安全掃瞄時偶然發現了該漏洞。 他震驚地發現,桶裡有寶馬的私鑰、內部資料和其他重要資訊。 這些敏感資料不僅涉及寶馬在全球雲服務的私鑰,還涉及生產和開發資料庫的登入憑據。
這次洩漏的嚴重性是不言而喻的。 私鑰洩露意味著攻擊者可以使用這些金鑰非法訪問和控制寶馬相關的雲服務,從而竊取更多敏感資訊或進行惡意操作。 內部資料的洩露可能會給寶馬帶來一系列嚴重後果,如商業秘密洩露、客戶私隱受損等。
目前,無法準確確定洩露了多少資料以及在網際網絡上暴露了多長時間。
2月初,CyberNews的研究人員偶然發現了由寶馬義大利公司主辦的未受保護的主機。 env 和git 配置檔案。 環境檔案 (..)env) 儲存在本地,包括有關生產和開發環境的資料。
研究人員指出,雖然這些資訊不足以讓攻擊者妥協**,但它們可以用於偵察——秘密發現和收集有關系統的資訊。
資料可能導致入侵或導致攻擊者儲存客戶資訊以及如何訪問它。 向公眾開放git 配置檔案允許攻擊者查詢其他可利用的漏洞,包括站點源的 ..git 儲存庫。
這一發現表明,即使是知名和值得信賴的品牌也可能具有嚴重不安全的配置,允許攻擊者破壞他們的系統以竊取客戶資訊或在網路中橫向移動。 這種型別的客戶資訊**對網路犯罪分子來說特別有價值,因為豪華汽車品牌的客戶通常擁有更多可能被盜的資產。 CyberNews研究團隊說。
2月1日,外媒報道稱,梅赫西迪-賓士沒有妥善處理github私鑰,導致外界對github企業內部服務的訪問不受限制,整個來源**被洩露。
原因是 Redhunt Labs 的研究人員在搜尋過程中還在屬於 Mercedez 員工的公共儲存庫中發現了乙個 GitHub 私鑰,該私鑰可以訪問公司內部的 GitHub 企業伺服器。
Redhunt Labs 報告指出,GitHub 私鑰提供對內部 GitHub 企業伺服器上託管的所有源**的“無限制”和“不受監控”的訪問。
該事件暴露了乙個包含大量智財權的敏感儲存庫,洩露的資訊包括資料庫連線字串、雲訪問金鑰、藍圖、設計文件、SSO 密碼、API 金鑰和其他重要的內部資訊。
正如研究人員所解釋的那樣,公開暴露這些資料的後果可能很嚴重。 原始碼洩漏可能導致競爭對手對專有技術進行逆向工程,或者黑客對其進行審查,以發現汽車系統中的潛在漏洞。
短短乙個月時間,兩家國際車企就出現了多重值得我們關注的安全問題。
其中兩個安全問題是研究人員在定期審查和監控中發現的,它們也完美地擊中了雲資源分配的“日常陷阱”:儲存桶許可權不當和弱密碼和金鑰管理不善。 Gartner 2019 年的一項調查顯示,80% 的資料洩露是由錯誤配置引起的,預計到 2025 年,這一數字將超過 90%。 今年1月底,由於配置變更,Microsoft Azure倒閉,這也讓業界對配置問題有了更深入的了解。
因此,我們採訪了雲安全方面的相關專家,並給出了一些具體的建議來防止雲資源分配錯誤:
了解雲服務和配置:在使用雲服務之前,請務必深入了解所提供的服務及其配置選項。 這包括了解雲服務的安全功能、如何配置它們以及潛在的安全風險。 與您的雲服務提供商溝通,以確保您清楚地了解如何正確配置雲服務以滿足您的安全需求。
最小特權原則:在為雲資源分配許可權時,應遵循最小許可權原則。 這意味著僅授予使用者或應用程式執行其任務所需的最低許可權。 通過限制不必要的訪問,可以降低潛在的安全風險。
定期審查和監測:定期檢視和監視雲資源的配置和訪問日誌至關重要。 這可以幫助您及時識別任何未經授權的訪問或配置更改,並採取適當的措施來修正它們。 通過使用雲服務提供商提供的監控工具和日誌分析工具,可以更輕鬆地完成這些任務。
自動化配置管理:使用自動化工具管理雲資源的配置可以降低人為錯誤的風險。 這些工具可以幫助您確保配置的一致性,並在需要時自動應用安全更新和補丁。
強制實施身份驗證和訪問控制:確保使用強密碼策略、多重身份驗證和訪問控制列表等安全措施來保護雲資源。 這將有助於防止未經授權的訪問和潛在的惡意活動。
定期更新和備份:定期更新您的雲服務和應用程式,以確保您使用的是最新、最安全的版本。 同時,定期備份雲資源的資料和配置也很重要。 在發生安全事件或不可預見的情況時,備份可以幫助您快速恢復資料和配置。