专家警告称宝马可能泄露了意大利客户的数据
宝马是一家德国豪华汽车跨国制造商,每年交付约 250 万辆汽车,不良的托管配置和未受保护的环境可能会泄露其商业机密和客户数据。
如果恶意黑客发现了这个漏洞,他们可以利用它来访问客户数据、窃取公司的源代码,并寻找其他漏洞进行利用。
2 月,Cybernews 研究人员偶然发现了BMW Italy官方网站上托管的未受保护环境 (.env) 和.git配置文件。环境文件 (.env) 旨在存储在本地,包括有关生产和开发环境的数据。
研究人员指出,虽然这些信息不足以让威胁行为者破坏网站,但它们可用于侦察——秘密发现和收集有关系统的信息。数据可能导致网站遭到破坏或将攻击者引向客户信息存储及其访问方式。
向公众公开的.git 配置文件允许威胁参与者找到其他可利用的漏洞,因为它包含站点源代码的.git存储库。
“这一发现表明,即使是知名和值得信赖的品牌也可能具有严重不安全的配置,从而允许攻击者破坏他们的系统以窃取客户信息或通过网络横向移动。来自此类来源的客户信息对网络犯罪分子来说尤其有价值,因为豪华汽车品牌的客户通常有更多可能被盗的储蓄,”Cybernews 研究团队表示。
敏感文件是由BMW Italy依赖的框架Laravel生成的,Laravel是一个免费的开源 PHP框架,专为开发 Web 应用程序而设计。
2017年,在上述框架中发现了一个漏洞。它在通用漏洞评分系统 (CVSS) 中获得 7.5 分(满分 10 分),因为攻击者可以通过利用该漏洞获取外部可用密码等敏感信息。该公司可能使用了易受攻击的Laravel版本,或者它可能被使用最新版本的人错误配置。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4861.html
