近日，據(jù)知名科技媒體TechCrunch披露，寶馬公司遭遇了一起嚴(yán)重的云存儲(chǔ)服務(wù)器配置失誤事件，導(dǎo)致大量敏感信息慘遭泄露。

據(jù)悉，這起事件源于微軟Azure托管存儲(chǔ)服務(wù)器的一項(xiàng)配置錯(cuò)誤，使得原本應(yīng)該受到嚴(yán)格保護(hù)的存儲(chǔ)桶被錯(cuò)誤地設(shè)置為公共訪問(wèn)狀態(tài)。

SOCRadar的安全研究員Can Yoleri在進(jìn)行例行安全掃描時(shí)偶然發(fā)現(xiàn)了這一漏洞。他震驚地發(fā)現(xiàn)，存儲(chǔ)桶中竟然包含了寶馬公司的私鑰、內(nèi)部數(shù)據(jù)以及其他重要信息。這些敏感數(shù)據(jù)不僅涉及寶馬在全球范圍內(nèi)的云服務(wù)私鑰，還包括了生產(chǎn)和開發(fā)數(shù)據(jù)庫(kù)的登錄憑證。

此次泄露事件的嚴(yán)重性不言而喻。私鑰的泄露意味著攻擊者可能利用這些密鑰非法訪問(wèn)和控制與寶馬相關(guān)的云服務(wù)，進(jìn)而竊取更多敏感信息或進(jìn)行惡意操作。而內(nèi)部數(shù)據(jù)的暴露則可能給寶馬公司帶來(lái)商業(yè)機(jī)密泄露、客戶隱私受損等一系列嚴(yán)重后果。

目前，尚無(wú)法確定具體有多少數(shù)據(jù)被泄露以及這些數(shù)據(jù)在互聯(lián)網(wǎng)上暴露的時(shí)間。

而在2月早些時(shí)候，Cybernews 研究人員偶然發(fā)現(xiàn)BMW Italy官方網(wǎng)站托管的未受保護(hù)的.env和 .git 配置文件。環(huán)境文件 (.env) 存儲(chǔ)在本地，包括有關(guān)生產(chǎn)和開發(fā)環(huán)境的數(shù)據(jù)。

研究人員指出，雖然這些信息不足以讓攻擊者破壞網(wǎng)站，但它們可用于偵察——秘密發(fā)現(xiàn)和收集有關(guān)系統(tǒng)的信息。

數(shù)據(jù)可能導(dǎo)致網(wǎng)站遭到入侵或?qū)⒐粽咭蚩蛻粜畔⒋鎯?chǔ)及其訪問(wèn)方式。向公眾公開的 .git 配置文件允許攻擊者找到其他可利用的漏洞，包含站點(diǎn)源代碼的 .git 存儲(chǔ)庫(kù)。

“這一發(fā)現(xiàn)表明，即使是知名和值得信賴的品牌也可能具有嚴(yán)重不安全的配置，從而允許攻擊者破壞他們的系統(tǒng)以竊取客戶信息或通過(guò)網(wǎng)絡(luò)橫向移動(dòng)。來(lái)自此類來(lái)源的客戶信息對(duì)網(wǎng)絡(luò)犯罪分子來(lái)說(shuō)尤其有價(jià)值，因?yàn)楹廊A汽車品牌的客戶通常有更多可能被盜的資產(chǎn)?！盋ybernews 研究團(tuán)隊(duì)表示。

2月1日，外媒消息，梅賽德斯-奔馳由于沒(méi)有妥善處理 GitHub 私鑰，導(dǎo)致外界可不受限制地訪問(wèn)內(nèi)部 GitHub 企業(yè)服務(wù)，而且整個(gè)源代碼都被泄露出來(lái)。

事情起因是 RedHunt 實(shí)驗(yàn)室的研究人員同樣在搜索時(shí)候，在屬于 Mercedez 員工的公共倉(cāng)庫(kù)中發(fā)現(xiàn)了一個(gè) GitHub 私鑰，該私鑰可訪問(wèn)公司內(nèi)部的 GitHub 企業(yè)服務(wù)器。

RedHunt 實(shí)驗(yàn)室的報(bào)告指出，利用該 GitHub 私鑰，可以“不受限制”和“不受監(jiān)控”地訪問(wèn)托管在內(nèi)部 GitHub 企業(yè)服務(wù)器上的全部源代碼。

這次事件暴露了存放大量知識(shí)產(chǎn)權(quán)的敏感存儲(chǔ)庫(kù)，被泄露的信息包括數(shù)據(jù)庫(kù)連接字符串、云訪問(wèn)密鑰、藍(lán)圖、設(shè)計(jì)文檔、SSO 密碼、API 密鑰和其他重要內(nèi)部信息。

正如研究人員解釋的那樣，公開暴露這些數(shù)據(jù)的后果可能很嚴(yán)重。源代碼泄露可能導(dǎo)致競(jìng)爭(zhēng)對(duì)手對(duì)專有技術(shù)進(jìn)行反向工程，或黑客對(duì)其進(jìn)行仔細(xì)檢查，以發(fā)現(xiàn)汽車系統(tǒng)中的潛在漏洞。

僅僅在一個(gè)月的時(shí)間內(nèi)，兩家國(guó)際汽車公司就出現(xiàn)多起安全問(wèn)題，值得我們關(guān)注。

其中兩次安全問(wèn)題都是研究人員在定期審查和監(jiān)控中發(fā)現(xiàn)的，而且這幾個(gè)安全問(wèn)題也完美得踩中了云資源配置的“日?？印保捍鎯?chǔ)桶權(quán)限設(shè)置不當(dāng)和弱密碼和密鑰管理不善。Gartner 2019年的一項(xiàng)調(diào)查顯示， 80% 的數(shù)據(jù)泄露是由錯(cuò)誤配置造成的，預(yù)計(jì)到2025年這一數(shù)字將超過(guò)90%。而在今年1月底，由于配置更改，微軟Azure崩了，這也讓業(yè)界對(duì)配置問(wèn)題有了更深的認(rèn)識(shí)。

因此，小編采訪到了云安全的相關(guān)專家，為防止云資源配置錯(cuò)誤，給出了一些具體的建議：

了解云服務(wù)和配置：在使用云服務(wù)之前，務(wù)必深入了解所提供的服務(wù)和其配置選項(xiàng)。這包括了解云服務(wù)的安全特性、配置方法以及潛在的安全風(fēng)險(xiǎn)。通過(guò)與云服務(wù)提供商的溝通，確保你清楚了解如何正確配置云服務(wù)以滿足你的安全需求。

最小權(quán)限原則：為云資源分配權(quán)限時(shí)，應(yīng)遵循最小權(quán)限原則。這意味著只授予用戶或應(yīng)用程序執(zhí)行其任務(wù)所需的最小權(quán)限。通過(guò)限制不必要的訪問(wèn)權(quán)限，可以減少潛在的安全風(fēng)險(xiǎn)。

定期審查和監(jiān)控：定期審查和監(jiān)控云資源的配置和訪問(wèn)日志是至關(guān)重要的。這可以幫助你及時(shí)發(fā)現(xiàn)任何未經(jīng)授權(quán)的訪問(wèn)或配置更改，并采取相應(yīng)的措施進(jìn)行修復(fù)。使用云服務(wù)提供商提供的監(jiān)控工具和日志分析工具，可以更輕松地完成這些任務(wù)。

自動(dòng)化配置管理：使用自動(dòng)化工具來(lái)管理云資源的配置可以減少人為錯(cuò)誤的風(fēng)險(xiǎn)。這些工具可以幫助你確保配置的一致性，并在需要時(shí)自動(dòng)應(yīng)用安全更新和補(bǔ)丁。

強(qiáng)化身份驗(yàn)證和訪問(wèn)控制：確保使用強(qiáng)密碼策略、多因素身份驗(yàn)證和訪問(wèn)控制列表等安全措施來(lái)保護(hù)云資源。這將有助于防止未經(jīng)授權(quán)的訪問(wèn)和潛在的惡意活動(dòng)。

定期更新和備份：定期更新云服務(wù)和應(yīng)用程序，以確保你使用的是最新和最安全的版本。同時(shí)，定期備份云資源的數(shù)據(jù)和配置也是非常重要的。在發(fā)生安全事件或意外情況時(shí)，備份可以幫助你快速恢復(fù)數(shù)據(jù)和配置。

審核編輯：黃飛