吳明宜二月間,Cybernews 研究人員發現一個代管在義大利 BMW 官方網站上,沒有密碼保護的環境 (.env) 及.git 配置檔案。環境檔案一般是本機儲存,包含生產及開發環境的資料。
雖然這些資訊不足以讓駭客駭入網站,但可用於偵察環境,即祕密找出及蒐集系統資訊,這些資訊可導致網站被駭,或導引攻擊者前往儲存客戶資訊的所在,以及存取資訊的工具。
至於.git 配置檔一旦公諸於世則可能讓駭客找到其他漏洞,因為它包含網站原始檔的.git 儲存庫。
這些敏感資訊都是由 BMW 義大利使用的框架 Laravel 所產生。 Laravel 為用以開發 Web 應用程式的開原碼 PHP 框架。
Laravel 本身就有漏洞
Laravel 在 2017 年被爆有個風險值 7.5 的漏洞,攻擊者可利用該漏洞取得密碼等敏感資訊,而用於其他攻擊。研究人員推測,BMW 可能是用了有漏洞的 Laravel 版本或是不慎發生配置不當的情形。
研究人員建議 BMW 應重設 GitLab CI 令牌,以避免攻擊者複製.git 儲存庫,並攻擊網站其他漏洞。此外應重設 MySQL 及 PostgreSQL 資料庫的存取憑證,變更主機的傳輸埠及 IP,以避免敏感資料外洩。
研究人員指出,這次發現顯示即使是知名且受消費者信任的品牌大廠都可能有不安全配置,讓攻擊者得以登堂入室,竊取客戶資訊或是在網路上橫向移動。這些地方流出的客戶資訊對犯罪集團而言格外值錢,因為名車品牌的客戶的銀行戶頭可是一大寶藏。
根據 BMW 義大利官網,他們蒐集的客戶資訊包括全名、住家地址、電話號碼及電子郵件。 BMW 也知道你開什麼車,合約內容,以及可用於釣魚和憑證填充 (credential-stuffing) 攻擊的車主線上帳號。
此外,這家車廠也擁有車子的技術資訊、手機所在位置,如果你手機內有安裝 BMW 或 Mini App 的話,這些資訊可能導致你車子被偷,因為攻擊者可能因此知道你人是在車內,或是在車外。
由於這些資訊經過加密,因此還不需太擔心。但是研究人員建議車主最好保持警戒,小心可疑信件,並留意銀行帳號是否有異常活動。
來源:Cybernews