近日，據(jù)知名科技媒體TechCrunch披露，寶馬公司遭遇了一起嚴重的云存儲服務器配置失誤事件，導致大量敏感信息慘遭泄露。

據(jù)悉，這起事件源于微軟Azure托管存儲服務器的一項配置錯誤，使得原本應該受到嚴格保護的存儲桶被錯誤地設置為公共訪問狀態(tài)。

SOCRadar的安全研究員Can Yoleri在進行例行安全掃描時偶然發(fā)現(xiàn)了這一漏洞。他震驚地發(fā)現(xiàn)，存儲桶中竟然包含了寶馬公司的私鑰、內(nèi)部數(shù)據(jù)以及其他重要信息。這些敏感數(shù)據(jù)不僅涉及寶馬在全球范圍內(nèi)的云服務私鑰，還包括了生產(chǎn)和開發(fā)數(shù)據(jù)庫的登錄憑證。

此次泄露事件的嚴重性不言而喻。私鑰的泄露意味著攻擊者可能利用這些密鑰非法訪問和控制與寶馬相關(guān)的云服務，進而竊取更多敏感信息或進行惡意操作。而內(nèi)部數(shù)據(jù)的暴露則可能給寶馬公司帶來商業(yè)機密泄露、客戶隱私受損等一系列嚴重后果。

目前，尚無法確定具體有多少數(shù)據(jù)被泄露以及這些數(shù)據(jù)在互聯(lián)網(wǎng)上暴露的時間。

而在2月早些時候，Cybernews 研究人員偶然發(fā)現(xiàn)BMW Italy官方網(wǎng)站托管的未受保護的.env和 .git 配置文件。環(huán)境文件 (.env) 存儲在本地，包括有關(guān)生產(chǎn)和開發(fā)環(huán)境的數(shù)據(jù)。

研究人員指出，雖然這些信息不足以讓攻擊者破壞網(wǎng)站，但它們可用于偵察——秘密發(fā)現(xiàn)和收集有關(guān)系統(tǒng)的信息。

數(shù)據(jù)可能導致網(wǎng)站遭到入侵或?qū)⒐粽咭蚩蛻粜畔⒋鎯捌湓L問方式。向公眾公開的 .git 配置文件允許攻擊者找到其他可利用的漏洞，包含站點源代碼的 .git 存儲庫。

“這一發(fā)現(xiàn)表明，即使是知名和值得信賴的品牌也可能具有嚴重不安全的配置，從而允許攻擊者破壞他們的系統(tǒng)以竊取客戶信息或通過網(wǎng)絡橫向移動。來自此類來源的客戶信息對網(wǎng)絡犯罪分子來說尤其有價值，因為豪華汽車品牌的客戶通常有更多可能被盜的資產(chǎn)?！盋ybernews 研究團隊表示。

2月1日，外媒消息，梅賽德斯-奔馳由于沒有妥善處理 GitHub 私鑰，導致外界可不受限制地訪問內(nèi)部 GitHub 企業(yè)服務，而且整個源代碼都被泄露出來。

事情起因是 RedHunt 實驗室的研究人員同樣在搜索時候，在屬于 Mercedez 員工的公共倉庫中發(fā)現(xiàn)了一個 GitHub 私鑰，該私鑰可訪問公司內(nèi)部的 GitHub 企業(yè)服務器。

RedHunt 實驗室的報告指出，利用該 GitHub 私鑰，可以“不受限制”和“不受監(jiān)控”地訪問托管在內(nèi)部 GitHub 企業(yè)服務器上的全部源代碼。

這次事件暴露了存放大量知識產(chǎn)權(quán)的敏感存儲庫，被泄露的信息包括數(shù)據(jù)庫連接字符串、云訪問密鑰、藍圖、設計文檔、SSO 密碼、API 密鑰和其他重要內(nèi)部信息。

正如研究人員解釋的那樣，公開暴露這些數(shù)據(jù)的后果可能很嚴重。源代碼泄露可能導致競爭對手對專有技術(shù)進行反向工程，或黑客對其進行仔細檢查，以發(fā)現(xiàn)汽車系統(tǒng)中的潛在漏洞。

僅僅在一個月的時間內(nèi)，兩家國際汽車公司就出現(xiàn)多起安全問題，值得我們關(guān)注。

其中兩次安全問題都是研究人員在定期審查和監(jiān)控中發(fā)現(xiàn)的，而且這幾個安全問題也完美得踩中了云資源配置的“日?？印保捍鎯ν皺?quán)限設置不當和弱密碼和密鑰管理不善。Gartner 2019年的一項調(diào)查顯示， 80% 的數(shù)據(jù)泄露是由錯誤配置造成的，預計到2025年這一數(shù)字將超過90%。而在今年1月底，由于配置更改，微軟Azure崩了，這也讓業(yè)界對配置問題有了更深的認識。

因此，小編采訪到了云安全的相關(guān)專家，為防止云資源配置錯誤，給出了一些具體的建議：

了解云服務和配置：在使用云服務之前，務必深入了解所提供的服務和其配置選項。這包括了解云服務的安全特性、配置方法以及潛在的安全風險。通過與云服務提供商的溝通，確保你清楚了解如何正確配置云服務以滿足你的安全需求。

最小權(quán)限原則：為云資源分配權(quán)限時，應遵循最小權(quán)限原則。這意味著只授予用戶或應用程序執(zhí)行其任務所需的最小權(quán)限。通過限制不必要的訪問權(quán)限，可以減少潛在的安全風險。

定期審查和監(jiān)控：定期審查和監(jiān)控云資源的配置和訪問日志是至關(guān)重要的。這可以幫助你及時發(fā)現(xiàn)任何未經(jīng)授權(quán)的訪問或配置更改，并采取相應的措施進行修復。使用云服務提供商提供的監(jiān)控工具和日志分析工具，可以更輕松地完成這些任務。

自動化配置管理：使用自動化工具來管理云資源的配置可以減少人為錯誤的風險。這些工具可以幫助你確保配置的一致性，并在需要時自動應用安全更新和補丁。

強化身份驗證和訪問控制：確保使用強密碼策略、多因素身份驗證和訪問控制列表等安全措施來保護云資源。這將有助于防止未經(jīng)授權(quán)的訪問和潛在的惡意活動。

定期更新和備份：定期更新云服務和應用程序，以確保你使用的是最新和最安全的版本。同時，定期備份云資源的數(shù)據(jù)和配置也是非常重要的。在發(fā)生安全事件或意外情況時，備份可以幫助你快速恢復數(shù)據(jù)和配置。

審核編輯：黃飛