義大利BMW官方網站爆出開發文件外洩事件元兇竟是Web開發框架？

德國汽車大廠BMW近日一個包含網站的設定檔案外流，最嚴重可導致網站被駭以及客戶個資外洩。

二月間，Cybernews研究人員發現一個代管在義大利BMW官方網站上，沒有密碼保護的環境(.env)及.git配置檔案。環境檔案一般是本機儲存，包含生產及開發環境的資料。

雖然這些資訊不足以讓駭客駭入網站，但可用於偵察環境，即祕密找出及蒐集系統資訊，這些資訊可導致網站被駭，或導引攻擊者前往儲存客戶資訊的所在，以及存取資訊的工具。

至於.git配置檔一旦公諸於世則可能讓駭客找到其他漏洞，因為它包含網站原始檔的.git儲存庫。

這些敏感資訊都是由BMW義大利使用的框架Laravel所產生。Laravel為用以開發Web應用程式的開原碼PHP框架。

Laravel在2017年被爆有個風險值7.5的漏洞，攻擊者可利用該漏洞取得密碼等敏感資訊，而用於其他攻擊。研究人員推測，BMW可能是用了有漏洞的Laravel版本或是不慎發生配置不當的情形。

研究人員建議BMW應重設GitLab CI令牌，以避免攻擊者複製.git儲存庫，並攻擊網站其他漏洞。此外應重設MySQL及PostgreSQL資料庫的存取憑證，變更主機的傳輸埠及IP，以避免敏感資料外洩。

研究人員指出，這次發現顯示即使是知名且受消費者信任的品牌大廠都可能有不安全配置，讓攻擊者得以登堂入室，竊取客戶資訊或是在網路上橫向移動。這些地方流出的客戶資訊對犯罪集團而言格外值錢，因為名車品牌的客戶的銀行戶頭可是一大寶藏。

根據BMW義大利官網，他們蒐集的客戶資訊包括全名、住家地址、電話號碼及電子郵件。BMW也知道你開什麼車，合約內容，以及可用於釣魚和憑證填充(credential-stuffing)攻擊的車主線上帳號。

此外，這家車廠也擁有車子的技術資訊、手機所在位置，如果你手機內有安裝BMW或Mini App的話，這些資訊可能導致你車子被偷，因為攻擊者可能因此知道你人是在車內，或是在車外。

由於這些資訊經過加密，因此還不需太擔心。但是研究人員建議車主最好保持警戒，小心可疑信件，並留意銀行帳號是否有異常活動。