近日，據(jù)知名科技媒體TechCrunch披露，寶馬公司遭遇了一起嚴(yán)重的云存儲(chǔ)服務(wù)器配置失誤事件，導(dǎo)致大量敏感信息慘遭泄露。

據(jù)悉，這起事件源于微軟Azure托管存儲(chǔ)服務(wù)器的一項(xiàng)配置錯(cuò)誤，使得原本應(yīng)該受到嚴(yán)格保護(hù)的存儲(chǔ)桶被錯(cuò)誤地設(shè)置為公共訪問狀態(tài)。

SOCRadar的安全研究員Can Yoleri在進(jìn)行例行安全掃描時(shí)偶然發(fā)現(xiàn)了這一漏洞。他震驚地發(fā)現(xiàn)，存儲(chǔ)桶中竟然包含了寶馬公司的私鑰、內(nèi)部數(shù)據(jù)以及其他重要信息。這些敏感數(shù)據(jù)不僅涉及寶馬在全球范圍內(nèi)的云服務(wù)私鑰，還包括了生產(chǎn)和開發(fā)數(shù)據(jù)庫(kù)的登錄憑證。

此次泄露事件的嚴(yán)重性不言而喻。私鑰的泄露意味著攻擊者可能利用這些密鑰非法訪問和控制與寶馬相關(guān)的云服務(wù)，進(jìn)而竊取更多敏感信息或進(jìn)行惡意操作。而內(nèi)部數(shù)據(jù)的暴露則可能給寶馬公司帶來商業(yè)機(jī)密泄露、客戶隱私受損等一系列嚴(yán)重后果。

目前，尚無法確定具體有多少數(shù)據(jù)被泄露以及這些數(shù)據(jù)在互聯(lián)網(wǎng)上暴露的時(shí)間。

而在2月早些時(shí)候，Cybernews 研究人員偶然發(fā)現(xiàn)BMW Italy官方網(wǎng)站托管的未受保護(hù)的.env和 .git 配置文件。環(huán)境文件 (.env) 存儲(chǔ)在本地，包括有關(guān)生產(chǎn)和開發(fā)環(huán)境的數(shù)據(jù)。

研究人員指出，雖然這些信息不足以讓攻擊者破壞網(wǎng)站，但它們可用于偵察——秘密發(fā)現(xiàn)和收集有關(guān)系統(tǒng)的信息。

數(shù)據(jù)可能導(dǎo)致網(wǎng)站遭到入侵或?qū)⒐粽咭蚩蛻粜畔⒋鎯?chǔ)及其訪問方式。向公眾公開的 .git 配置文件允許攻擊者找到其他可利用的漏洞，包含站點(diǎn)源代碼的 .git 存儲(chǔ)庫(kù)。

“這一發(fā)現(xiàn)表明，即使是知名和值得信賴的品牌也可能具有嚴(yán)重不安全的配置，從而允許攻擊者破壞他們的系統(tǒng)以竊取客戶信息或通過網(wǎng)絡(luò)橫向移動(dòng)。來自此類來源的客戶信息對(duì)網(wǎng)絡(luò)犯罪分子來說尤其有價(jià)值，因?yàn)楹廊A汽車品牌的客戶通常有更多可能被盜的資產(chǎn)。”Cybernews 研究團(tuán)隊(duì)表示。

2月1日，外媒消息，梅賽德斯-奔馳由于沒有妥善處理 GitHub 私鑰，導(dǎo)致外界可不受限制地訪問內(nèi)部 GitHub 企業(yè)服務(wù)，而且整個(gè)源代碼都被泄露出來。

事情起因是 RedHunt 實(shí)驗(yàn)室的研究人員同樣在搜索時(shí)候，在屬于 Mercedez 員工的公共倉(cāng)庫(kù)中發(fā)現(xiàn)了一個(gè) GitHub 私鑰，該私鑰可訪問公司內(nèi)部的 GitHub 企業(yè)服務(wù)器。

RedHunt 實(shí)驗(yàn)室的報(bào)告指出，利用該 GitHub 私鑰，可以“不受限制”和“不受監(jiān)控”地訪問托管在內(nèi)部 GitHub 企業(yè)服務(wù)器上的全部源代碼。

這次事件暴露了存放大量知識(shí)產(chǎn)權(quán)的敏感存儲(chǔ)庫(kù)，被泄露的信息包括數(shù)據(jù)庫(kù)連接字符串、云訪問密鑰、藍(lán)圖、設(shè)計(jì)文檔、SSO 密碼、API 密鑰和其他重要內(nèi)部信息。

正如研究人員解釋的那樣，公開暴露這些數(shù)據(jù)的后果可能很嚴(yán)重。源代碼泄露可能導(dǎo)致競(jìng)爭(zhēng)對(duì)手對(duì)專有技術(shù)進(jìn)行反向工程，或黑客對(duì)其進(jìn)行仔細(xì)檢查，以發(fā)現(xiàn)汽車系統(tǒng)中的潛在漏洞。

僅僅在一個(gè)月的時(shí)間內(nèi)，兩家國(guó)際汽車公司就出現(xiàn)多起安全問題，值得我們關(guān)注。

其中兩次安全問題都是研究人員在定期審查和監(jiān)控中發(fā)現(xiàn)的，而且這幾個(gè)安全問題也完美得踩中了云資源配置的“日常坑”：存儲(chǔ)桶權(quán)限設(shè)置不當(dāng)和弱密碼和密鑰管理不善。Gartner 2019年的一項(xiàng)調(diào)查顯示， 80% 的數(shù)據(jù)泄露是由錯(cuò)誤配置造成的，預(yù)計(jì)到2025年這一數(shù)字將超過90%。而在今年1月底，由于配置更改，微軟Azure崩了，這也讓業(yè)界對(duì)配置問題有了更深的認(rèn)識(shí)。

因此，小編采訪到了云安全的相關(guān)專家，為防止云資源配置錯(cuò)誤，給出了一些具體的建議：

了解云服務(wù)和配置：在使用云服務(wù)之前，務(wù)必深入了解所提供的服務(wù)和其配置選項(xiàng)。這包括了解云服務(wù)的安全特性、配置方法以及潛在的安全風(fēng)險(xiǎn)。通過與云服務(wù)提供商的溝通，確保你清楚了解如何正確配置云服務(wù)以滿足你的安全需求。

最小權(quán)限原則：為云資源分配權(quán)限時(shí)，應(yīng)遵循最小權(quán)限原則。這意味著只授予用戶或應(yīng)用程序執(zhí)行其任務(wù)所需的最小權(quán)限。通過限制不必要的訪問權(quán)限，可以減少潛在的安全風(fēng)險(xiǎn)。

定期審查和監(jiān)控：定期審查和監(jiān)控云資源的配置和訪問日志是至關(guān)重要的。這可以幫助你及時(shí)發(fā)現(xiàn)任何未經(jīng)授權(quán)的訪問或配置更改，并采取相應(yīng)的措施進(jìn)行修復(fù)。使用云服務(wù)提供商提供的監(jiān)控工具和日志分析工具，可以更輕松地完成這些任務(wù)。

自動(dòng)化配置管理：使用自動(dòng)化工具來管理云資源的配置可以減少人為錯(cuò)誤的風(fēng)險(xiǎn)。這些工具可以幫助你確保配置的一致性，并在需要時(shí)自動(dòng)應(yīng)用安全更新和補(bǔ)丁。

強(qiáng)化身份驗(yàn)證和訪問控制：確保使用強(qiáng)密碼策略、多因素身份驗(yàn)證和訪問控制列表等安全措施來保護(hù)云資源。這將有助于防止未經(jīng)授權(quán)的訪問和潛在的惡意活動(dòng)。

定期更新和備份：定期更新云服務(wù)和應(yīng)用程序，以確保你使用的是最新和最安全的版本。同時(shí)，定期備份云資源的數(shù)據(jù)和配置也是非常重要的。在發(fā)生安全事件或意外情況時(shí)，備份可以幫助你快速恢復(fù)數(shù)據(jù)和配置。

審核編輯：黃飛