在當(dāng)今數(shù)字化飛速發(fā)展的時(shí)代，數(shù)據(jù)安全已成為企業(yè)和個(gè)人不可忽視的重要問(wèn)題。最近，汽車(chē)巨頭寶馬和奔馳相繼爆發(fā)數(shù)據(jù)泄露事件，引發(fā)了廣泛關(guān)注和警惕。這些事件不僅暴露了企業(yè)的敏感信息，也凸顯了在數(shù)字化轉(zhuǎn)型過(guò)程中面臨的安全挑戰(zhàn)。

寶馬私鑰和內(nèi)部數(shù)據(jù)等敏感信息暴露

據(jù)外媒 TechCrunch 近日?qǐng)?bào)道，汽車(chē)巨頭寶馬的云存儲(chǔ)服務(wù)器發(fā)生配置錯(cuò)誤事件，導(dǎo)致私鑰和內(nèi)部數(shù)據(jù)等敏感信息暴露。

研究人員 Can Yoleri 表示，其在例行掃描時(shí)發(fā)現(xiàn)寶馬開(kāi)發(fā)環(huán)境中的微軟 Azure 托管存儲(chǔ)服務(wù)器（也稱(chēng)“存儲(chǔ)桶”）被配置為公共而非私有。

Yoleri 補(bǔ)充說(shuō)，該存儲(chǔ)桶中包含“腳本文件，其中包括 Azure 容器訪問(wèn)信息、訪問(wèn)私有存儲(chǔ)服務(wù)器地址的密鑰以及其他云服務(wù)的詳細(xì)信息”。

根據(jù) TechCrunch 了解到的信息，此次暴露的數(shù)據(jù)包括寶馬在中國(guó)、歐洲和美國(guó)的云服務(wù)私鑰，以及寶馬生產(chǎn)和開(kāi)發(fā)數(shù)據(jù)庫(kù)的登錄憑證，不過(guò)目前尚不清楚具體有多少數(shù)據(jù)被暴露。

寶馬發(fā)言人已證實(shí)，此次數(shù)據(jù)泄露影響了基于存儲(chǔ)開(kāi)發(fā)環(huán)境的微軟 Azure 存儲(chǔ)桶，并表示沒(méi)有客戶(hù)或個(gè)人數(shù)據(jù)因此受到影響。該發(fā)言人補(bǔ)充說(shuō)：“寶馬集團(tuán)已于 2024 年初修復(fù)了這一問(wèn)題，我們將繼續(xù)與合作伙伴一起監(jiān)控情況?！?

寶馬公司不愿給出云存儲(chǔ)服務(wù)器暴露事件持續(xù)了多長(zhǎng)時(shí)間，也不愿透露被暴露的數(shù)據(jù)是否已遭惡意訪問(wèn)。根據(jù)研究人員 Yoleri 的說(shuō)法，寶馬還未撤銷(xiāo)或更改在被暴露的云存儲(chǔ)服務(wù)器中發(fā)現(xiàn)的密碼和憑證集。

奔馳源代碼意外泄露，暴露內(nèi)部敏感數(shù)據(jù)

近日，RedHunt 實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)，梅賽德斯-奔馳無(wú)意中留下了可在線訪問(wèn)的私鑰，暴露了內(nèi)部數(shù)據(jù)，包括公司的源代碼。目前尚不清楚數(shù)據(jù)泄露是否暴露了客戶(hù)數(shù)據(jù)。

2023 年 9 月 29 日，RedHunt Labs 的研究人員在一個(gè)屬于 Mercedez 員工的公共倉(cāng)庫(kù)中發(fā)現(xiàn)了一個(gè) GitHub 令牌，該令牌可以訪問(wèn)公司內(nèi)部的 GitHub 企業(yè)服務(wù)器。RedHunt Labs 在公告中寫(xiě)道：GitHub 令牌允許'不受限制'和'不受監(jiān)控'地訪問(wèn)托管在內(nèi)部 GitHub 企業(yè)服務(wù)器上的全部源代碼。

該事件導(dǎo)致存放大量知識(shí)產(chǎn)權(quán)的敏感存儲(chǔ)庫(kù)數(shù)據(jù)泄露。其中，被泄露的信息包括數(shù)據(jù)庫(kù)連接字符串、云訪問(wèn)密鑰、藍(lán)圖、設(shè)計(jì)文檔、SSO 密碼、API 密鑰和其他敏感內(nèi)部信息。

源代碼泄露可能會(huì)導(dǎo)致競(jìng)爭(zhēng)對(duì)手對(duì)專(zhuān)有技術(shù)進(jìn)行逆向工程，黑客很可能通過(guò)這種方式發(fā)現(xiàn)汽車(chē)系統(tǒng)中的潛在漏洞。

此外，API 密鑰暴露可能會(huì)導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)、服務(wù)中斷以及出于惡意目的濫用公司的基礎(chǔ)設(shè)施。

RedHunt 實(shí)驗(yàn)室還提到，如果被暴露的存儲(chǔ)庫(kù)中包含客戶(hù)數(shù)據(jù)，則有可能觸犯法律，比如違反 GDPR。不過(guò)，研究人員尚未驗(yàn)證被暴露文件的內(nèi)容。

RedHunt 在 TechCrunch 的幫助下，于 2024 年 1 月 22 日向梅賽德斯-奔馳通報(bào)了令牌泄露事件，并在兩天后撤銷(xiāo)了該令牌，阻止了所有持有和濫用令牌者的非法訪問(wèn)。

數(shù)據(jù)安全是一個(gè)永恒的挑戰(zhàn)

奔馳和寶馬源碼泄露事件是對(duì)數(shù)字化時(shí)代企業(yè)數(shù)據(jù)安全挑戰(zhàn)的一個(gè)提醒，即使是全球知名的汽車(chē)制造商，也無(wú)法完全擺脫數(shù)據(jù)泄露和安全漏洞的風(fēng)險(xiǎn)。

隨著企業(yè)越來(lái)越依賴(lài)云存儲(chǔ)和軟件開(kāi)發(fā)工具，他們的數(shù)據(jù)暴露于更多的潛在風(fēng)險(xiǎn)之中。在奔馳的情況中，GitHub私鑰的泄露使得攻擊者可以訪問(wèn)企業(yè)的核心代碼，這直接暴露了公司的技術(shù)秘密和商業(yè)機(jī)密。而寶馬的情況則顯示了即使是存儲(chǔ)在云平臺(tái)上的數(shù)據(jù)也可能受到威脅，一旦配置錯(cuò)誤，就會(huì)導(dǎo)致敏感信息的泄露。

其次，這些事件突顯了企業(yè)在內(nèi)部安全管理方面的不足。無(wú)論是奔馳還是寶馬，都有可能出現(xiàn)員工疏忽或管理失誤，導(dǎo)致關(guān)鍵信息的暴露。對(duì)內(nèi)部權(quán)限的管理、員工培訓(xùn)和安全意識(shí)的提升都是至關(guān)重要的，以減少類(lèi)似事件的發(fā)生。

總的來(lái)說(shuō)，奔馳和寶馬源碼泄露事件是一個(gè)警示，提醒我們?cè)跀?shù)字化時(shí)代，數(shù)據(jù)安全是一個(gè)永恒的挑戰(zhàn)，需要企業(yè)、個(gè)人和社會(huì)共同努力來(lái)應(yīng)對(duì)和解決。