近20家車企存在API安全漏洞,黑客可以遠端開鎖、啟動車輛、追蹤汽車行蹤、竊取車主個人資訊。
近日,據海外**techcrunch報道,汽車巨頭寶馬的雲儲存伺服器發生配置錯誤事件,導致私鑰、內部資料等敏感資訊洩露。
訊息披露後,寶馬發言人證實,資料洩露影響了基於儲存的開發環境Microsoft Azure Bucket,並表示沒有客戶或個人資料因此受到影響。 發言人補充說:“寶馬集團已在2024年初解決了這個問題,我們將繼續與合作夥伴一起監測情況。 ”
研究人員Can Yoleri報告說,在一次例行掃瞄中,他意外地發現寶馬的雲儲存伺服器(也稱為“儲存桶”)配置錯誤,並設定為公共訪問狀態,而不是預期的私有狀態。 這個嚴重的配置錯誤將寶馬的私鑰、內部資料和其他敏感資訊暴露在公眾面前。 在詳細報告中,Yoleri 指出,配置錯誤的儲存桶包含大量敏感資訊,包括對 Azure 容器的訪問資訊、訪問私有儲存伺服器位址的金鑰以及與 BMW 雲服務相關的其他詳細資訊。 這些資訊的洩露無疑為潛在的攻擊者提供了破壞寶馬雲服務的捷徑。
暴露的資料包括寶馬在中國、歐洲和美國的雲服務私鑰,以及寶馬生產和開發資料庫的登入憑據,但目前尚不清楚暴露了多少資料。
不僅是寶馬,梅赫西迪-賓士也發生了類似的安全事故。 據介紹,梅赫西迪-賓士近日也發生了類似的資料安全事件:安全實驗室Redhunt從一名梅赫西迪-賓士員工的**倉庫中發現了github私鑰,而這個私鑰可以訪問梅赫西迪-賓士內部github伺服器上的所有**。
電車圈觀察:
資料攻擊者可以利用資料漏洞訪問、修改和刪除車主的賬號,管理他們的車輛,甚至直接將自己設定為車主。 這真是太瘋狂了!
目前,除了寶馬和梅赫西迪-賓士之外,法拉利、保時捷、積架、路虎、福特、起亞、本田、英菲尼迪、日產、謳歌、現代、豐田等全球知名汽車品牌的使用者資料安全也存在安全漏洞。
在這裡,我們還想提醒您,在購買二手車時,您必須確保前任車主的帳戶已被完全刪除。 如果可用,請嘗試使用強密碼,並為車輛的應用程式和服務設定雙因素身份驗證。