0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

汽车巨头数据泄露,云资源配置失误成罪魁祸首?

智能汽车电子与软件 来源:谈思实验室 2024-02-20 15:53 次阅读

近日,据知名科技媒体TechCrunch披露,宝马公司遭遇了一起严重的云存储服务器配置失误事件,导致大量敏感信息惨遭泄露。

据悉,这起事件源于微软Azure托管存储服务器的一项配置错误,使得原本应该受到严格保护的存储桶被错误地设置为公共访问状态。

SOCRadar的安全研究员Can Yoleri在进行例行安全扫描时偶然发现了这一漏洞。他震惊地发现,存储桶中竟然包含了宝马公司的私钥、内部数据以及其他重要信息。这些敏感数据不仅涉及宝马在全球范围内的云服务私钥,还包括了生产和开发数据库的登录凭证。

此次泄露事件的严重性不言而喻。私钥的泄露意味着攻击者可能利用这些密钥非法访问和控制与宝马相关的云服务,进而窃取更多敏感信息或进行恶意操作。而内部数据的暴露则可能给宝马公司带来商业机密泄露、客户隐私受损等一系列严重后果。

目前,尚无法确定具体有多少数据被泄露以及这些数据在互联网上暴露的时间。

而在2月早些时候,Cybernews 研究人员偶然发现BMW Italy官方网站托管的未受保护的.env和 .git 配置文件。环境文件 (.env) 存储在本地,包括有关生产和开发环境的数据。

研究人员指出,虽然这些信息不足以让攻击者破坏网站,但它们可用于侦察——秘密发现和收集有关系统的信息。

数据可能导致网站遭到入侵或将攻击者引向客户信息存储及其访问方式。向公众公开的 .git 配置文件允许攻击者找到其他可利用的漏洞,包含站点源代码的 .git 存储库。

“这一发现表明,即使是知名和值得信赖的品牌也可能具有严重不安全的配置,从而允许攻击者破坏他们的系统以窃取客户信息或通过网络横向移动。来自此类来源的客户信息对网络犯罪分子来说尤其有价值,因为豪华汽车品牌的客户通常有更多可能被盗的资产。”Cybernews 研究团队表示。

2月1日,外媒消息,梅赛德斯-奔驰由于没有妥善处理 GitHub 私钥,导致外界可不受限制地访问内部 GitHub 企业服务,而且整个源代码都被泄露出来。

事情起因是 RedHunt 实验室的研究人员同样在搜索时候,在属于 Mercedez 员工的公共仓库中发现了一个 GitHub 私钥,该私钥可访问公司内部的 GitHub 企业服务器。

RedHunt 实验室的报告指出,利用该 GitHub 私钥,可以“不受限制”和“不受监控”地访问托管在内部 GitHub 企业服务器上的全部源代码。

这次事件暴露了存放大量知识产权的敏感存储库,被泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他重要内部信息。

正如研究人员解释的那样,公开暴露这些数据的后果可能很严重。源代码泄露可能导致竞争对手对专有技术进行反向工程,或黑客对其进行仔细检查,以发现汽车系统中的潜在漏洞。

仅仅在一个月的时间内,两家国际汽车公司就出现多起安全问题,值得我们关注。

其中两次安全问题都是研究人员在定期审查和监控中发现的,而且这几个安全问题也完美得踩中了云资源配置的“日常坑”:存储桶权限设置不当和弱密码和密钥管理不善。Gartner 2019年的一项调查显示, 80% 的数据泄露是由错误配置造成的,预计到2025年这一数字将超过90%。而在今年1月底,由于配置更改,微软Azure崩了,这也让业界对配置问题有了更深的认识。

因此,小编采访到了云安全的相关专家,为防止云资源配置错误,给出了一些具体的建议:

了解云服务和配置:在使用云服务之前,务必深入了解所提供的服务和其配置选项。这包括了解云服务的安全特性、配置方法以及潜在的安全风险。通过与云服务提供商的沟通,确保你清楚了解如何正确配置云服务以满足你的安全需求。

最小权限原则:为云资源分配权限时,应遵循最小权限原则。这意味着只授予用户或应用程序执行其任务所需的最小权限。通过限制不必要的访问权限,可以减少潜在的安全风险。

定期审查和监控:定期审查和监控云资源的配置和访问日志是至关重要的。这可以帮助你及时发现任何未经授权的访问或配置更改,并采取相应的措施进行修复。使用云服务提供商提供的监控工具和日志分析工具,可以更轻松地完成这些任务。

自动化配置管理:使用自动化工具来管理云资源的配置可以减少人为错误的风险。这些工具可以帮助你确保配置的一致性,并在需要时自动应用安全更新和补丁。

强化身份验证和访问控制:确保使用强密码策略、多因素身份验证和访问控制列表等安全措施来保护云资源。这将有助于防止未经授权的访问和潜在的恶意活动。

定期更新和备份:定期更新云服务和应用程序,以确保你使用的是最新和最安全的版本。同时,定期备份云资源的数据和配置也是非常重要的。在发生安全事件或意外情况时,备份可以帮助你快速恢复数据和配置。

审核编辑:黄飞

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 微软
    +关注

    关注

    4

    文章

    6590

    浏览量

    104024
  • 服务器
    +关注

    关注

    12

    文章

    9123

    浏览量

    85324
  • 云存储
    +关注

    关注

    7

    文章

    736

    浏览量

    46042
  • 云安全
    +关注

    关注

    0

    文章

    102

    浏览量

    19434

原文标题:汽车巨头数据泄露,云资源配置的锅?

文章出处:【微信号:智能汽车电子与软件,微信公众号:智能汽车电子与软件】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    汇顶科技出售DCT资产组:优化资源配置,提升核心竞争力

    Engineering Service Pte. Ltd出售其全资孙公司DCT GmbH和DCT B.V.的100%股权。这次交易的目的在于优化资源配置,进一步提升公司的核心竞争力。
    的头像 发表于 11-06 15:12 437次阅读

    数据轻松上——明达Mbox边缘计算网关

    随着工业4.0时代的到来,工厂数字化转型已成为提升生产效率、优化资源配置、增强企业竞争力的关键。明达技术凭借其先进的边缘计算网关与平台技术,为工厂提供了高效、稳定的数据采集与上解决
    的头像 发表于 10-18 16:47 173次阅读
    <b class='flag-5'>数据</b>轻松上<b class='flag-5'>云</b>——明达Mbox边缘计算网关

    服务器搭建步骤

    服务器不仅提供了灵活的资源配置和强大的计算能力,还降低了IT基础设施的维护成本。下面,rak小编带您详细了解服务器搭建的步骤。
    的头像 发表于 10-09 10:58 208次阅读

    【xG24 Matter开发套件试用体验】串口通信资源配置与应用

    【xG24 Matter开发套件试用体验】串口通信资源配置与应用 xG24 Matter开发套件提供了丰富的串口通信资源, 包含RS232和RS485,IIC和SPI,并且有ADC模数转换输入端口
    发表于 08-24 10:05

    公共 IP 地址前缀如何进行网络资源配置

    IPv4或IPv6地址组成。在具有可用区域的地方,我们可将其创建区域冗余模式,也可让其和特定的可用区域相关联。一旦创建了公共IP地址前缀,就能够进一步创建公共IP地址。 公共 IP 地址前缀如何进行网络资源配置? 我们还可以从已知的范围创建静
    的头像 发表于 08-21 14:57 315次阅读
    公共 IP 地址前缀如何进行网络<b class='flag-5'>资源配置</b>?

    掀起性能巨浪:华为 Flexus X 实例定义业务负载多面手

    在数字化浪潮的推动下,计算已成为企业转型升级的强大引擎。企业对于 IT 资源的需求正从传统的自建自维,转向灵活、高效、成本优化的服务。然而,随着业务的多样化和动态变化,传统服务的
    的头像 发表于 08-07 23:08 328次阅读
    掀起性能巨浪:华为<b class='flag-5'>云</b> Flexus X 实例定义业务负载多面手

    AMS1117 温升测试 ,ADC采集电路温漂的罪魁祸首

    最近在做一个uV电压采集的产品,发现总是开机用了一段时间后,采集结果慢慢变不准了,找了很久没找到原因,后来发现是电路版温度慢慢升高导致,结果发现罪魁祸首是1117, 1117在大电流的时候会发
    发表于 07-08 16:24

    智慧水务配电能效平台在珠江三角洲水资源配置工程中的应用

    城市供水安全,还能为类似工程提供参考和借鉴。 关键词:智慧水务;珠江三角洲水资源配置工程;管理系统 1 智慧水务理念 智慧水务是以解决城市水务发展需求为导向,利用现代传感、物联网及信息技术,构建城市水务综合数据库,实现水务信息充
    的头像 发表于 06-20 11:25 260次阅读
    智慧水务配电能效平台在珠江三角洲水<b class='flag-5'>资源配置</b>工程中的应用

    谷歌配置失误致澳大利亚UniSuper基金停运一周

    据英国《卫报》报道,日前谷歌服务突曝严重的配置失误,澳大利亚 UniSuper 基金会理财账户遭到删减,造成其账号服务长达一周的停摆。
    的头像 发表于 05-11 15:13 736次阅读

    资产管理系统:优化资源配置,提升企业运营效率

    资产信息。实际应用中,系统实现了资产信息透明化、资源配置优化、成本降低和效率提升。未来,随着技术发展,资产管理系统将持续完善,为企业发展注入新动力。
    的头像 发表于 04-26 17:17 946次阅读
    资产管理系统:优化<b class='flag-5'>资源配置</b>,提升企业运营效率

    资源配置工程数据可视化监测管理系统解决方案

    资源配置工程师解决部分地区水资源短缺问题、优化区域水资源配置格局的重要水利工程,是国家水网骨干工程和重大水利民生工程,可改善供水格局,缓解缺水情势,并为农业灌溉提供水源,长远解决水资源
    的头像 发表于 04-24 14:00 330次阅读
    水<b class='flag-5'>资源配置</b>工程<b class='flag-5'>数据</b>可视化监测管理系统解决方案

    CPU 100%问题怎么排查?有哪些方法?

    首先,先用放之四海而皆准的命令 top,确认一下是不是 Java 进程是罪魁祸首。Java 进程要不然就是个后台任务,要不然就是个 jar 包,比如一个Spring Boot 服务。
    的头像 发表于 03-18 17:09 8665次阅读
    CPU 100%问题怎么排查?有哪些方法?

    局域网IP地址冲突、环路的罪魁祸首是什么?

    局域网IP地址冲突、环路的罪魁祸首是什么? 局域网IP地址冲突和环路是网络中常见的问题,它们会导致网络故障和通信中断,影响企业和个人的网络使用体验。本文将详细说明局域网IP地址冲突和环路的原因
    的头像 发表于 02-04 11:03 4475次阅读

    国家重大水利工程!赛思时间同步装置赋能珠三角水资源配置工程“西水东济”

    1月30日,珠江三角洲水资源配置工程全线通水!赛思时间同步装置助力国家重大水利工程精准实现“西水东济”!珠三角水资源配置工程:国家重大水利工程、粤港澳大湾区重要民生项目珠三角水资源配置工程是全国
    的头像 发表于 01-31 10:47 452次阅读
    国家重大水利工程!赛思时间同步装置赋能珠三角水<b class='flag-5'>资源配置</b>工程“西水东济”

    华为FusionCompute资源配置方案

    我们在上一篇文章,用安装包安装VRM时,已经添加了一台CNA主机:CNA01。如下图为上一篇文章,配置VRM时添加的CNA01。
    的头像 发表于 12-28 09:12 8946次阅读
    华为FusionCompute<b class='flag-5'>资源配置</b>方案