近日,据知名科技**techcrunch报道,宝马遭遇了严重的云存储服务器配置错误,导致大量敏感信息泄露。
据报道,该事件源于 Microsoft 的 Azure 托管存储服务器中的配置错误,该错误导致本应受到严格保护的存储桶被错误地设置为公共访问状态。
SocRadar 的安全研究员 Can Yoleri 在进行例行安全扫描时偶然发现了该漏洞。 他震惊地发现,桶里有宝马的私钥、内部数据和其他重要信息。 这些敏感数据不仅涉及宝马在全球云服务的私钥,还涉及生产和开发数据库的登录凭据。
这次泄漏的严重性是不言而喻的。 私钥泄露意味着攻击者可以使用这些密钥非法访问和控制宝马相关的云服务,从而窃取更多敏感信息或进行恶意操作。 内部数据的泄露可能会给宝马带来一系列严重后果,如商业秘密泄露、客户隐私受损等。
目前,无法准确确定泄露了多少数据以及在互联网上暴露了多长时间。
2月初,CyberNews的研究人员偶然发现了由宝马意大利公司主办的未受保护的主机。 env 和git 配置文件。 环境文件 (..)env) 存储在本地,包括有关生产和开发环境的数据。
研究人员指出,虽然这些信息不足以让攻击者妥协**,但它们可以用于侦察——秘密发现和收集有关系统的信息。
数据可能导致入侵或导致攻击者存储客户信息以及如何访问它。 向公众开放git 配置文件允许攻击者查找其他可利用的漏洞,包括站点源的 ..git 存储库。
这一发现表明,即使是知名和值得信赖的品牌也可能具有严重不安全的配置,允许攻击者破坏他们的系统以窃取客户信息或在网络中横向移动。 这种类型的客户信息**对网络犯罪分子来说特别有价值,因为豪华汽车品牌的客户通常拥有更多可能被盗的资产。 CyberNews研究团队说。
2月1日,外媒报道称,梅赛德斯-奔驰没有妥善处理github私钥,导致外界对github企业内部服务的访问不受限制,整个来源**被泄露。
原因是 Redhunt Labs 的研究人员在搜索过程中还在属于 Mercedez 员工的公共存储库中发现了一个 GitHub 私钥,该私钥可以访问公司内部的 GitHub 企业服务器。
Redhunt Labs 报告指出,GitHub 私钥提供对内部 GitHub 企业服务器上托管的所有源**的“无限制”和“不受监控”的访问。
该事件暴露了一个包含大量知识产权的敏感存储库,泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他重要的内部信息。
正如研究人员所解释的那样,公开暴露这些数据的后果可能很严重。 源代码泄漏可能导致竞争对手对专有技术进行逆向工程,或者黑客对其进行审查,以发现汽车系统中的潜在漏洞。
短短一个月时间,两家国际车企就出现了多重值得我们关注的安全问题。
其中两个安全问题是研究人员在定期审查和监控中发现的,它们也完美地击中了云资源分配的“日常陷阱”:存储桶权限不当和弱密码和密钥管理不善。 Gartner 2019 年的一项调查显示,80% 的数据泄露是由错误配置引起的,预计到 2025 年,这一数字将超过 90%。 今年1月底,由于配置变更,Microsoft Azure倒闭,这也让业界对配置问题有了更深入的了解。
因此,我们采访了云安全方面的相关专家,并给出了一些具体的建议来防止云资源分配错误:
了解云服务和配置:在使用云服务之前,请务必深入了解所提供的服务及其配置选项。 这包括了解云服务的安全功能、如何配置它们以及潜在的安全风险。 与您的云服务提供商沟通,以确保您清楚地了解如何正确配置云服务以满足您的安全需求。
最小特权原则:在为云资源分配权限时,应遵循最小权限原则。 这意味着仅授予用户或应用程序执行其任务所需的最低权限。 通过限制不必要的访问,可以降低潜在的安全风险。
定期审查和监测:定期查看和监视云资源的配置和访问日志至关重要。 这可以帮助您及时识别任何未经授权的访问或配置更改,并采取适当的措施来修正它们。 通过使用云服务提供商提供的监控工具和日志分析工具,可以更轻松地完成这些任务。
自动化配置管理:使用自动化工具管理云资源的配置可以降低人为错误的风险。 这些工具可以帮助您确保配置的一致性,并在需要时自动应用安全更新和补丁。
强制实施身份验证和访问控制:确保使用强密码策略、多重身份验证和访问控制列表等安全措施来保护云资源。 这将有助于防止未经授权的访问和潜在的恶意活动。
定期更新和备份:定期更新您的云服务和应用程序,以确保您使用的是最新、最安全的版本。 同时,定期备份云资源的数据和配置也很重要。 在发生安全事件或不可预见的情况时,备份可以帮助您快速恢复数据和配置。