沃爾沃零售商客戶信息遭泄露����,涉及大量敏感文件
2023年04月15日
曝光的敏感文件包含用戶私人數(shù)據(jù)
2023年2月17日���,Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)從dimasvolvo.com.br網(wǎng)站上�����,可以直接訪問到一些涉及用于敏感信息的文件�����,而這些信息都是來自于巴西圣卡塔琳娜地區(qū)的一家沃爾沃零售商�����。
信息不僅包括數(shù)據(jù)庫的認(rèn)證信息��,還包括了MySQL和Redis數(shù)據(jù)庫主機(jī)�、開放端口和證書信息等。攻擊者只需用這些憑證就能進(jìn)一步利用數(shù)據(jù)庫的內(nèi)容���,而數(shù)據(jù)庫內(nèi)很可能存儲了用戶的私人數(shù)據(jù)��。
不僅如此�,研究人員還偶然發(fā)現(xiàn)了該網(wǎng)站的Laravel應(yīng)用程序密鑰。這個密鑰一旦泄露了風(fēng)險(xiǎn)極高�����,因?yàn)樗赡鼙挥脕斫饷苡脩舻腸ookies����,而這些cookies通常包含用戶的一些憑證信息或會話ID這些敏感信息,而攻擊者可以利用這些數(shù)據(jù)來劫持這些人的賬戶��。
Git庫會直接暴露數(shù)據(jù)庫名稱和初始創(chuàng)建者
在泄露的數(shù)據(jù)中�����,研究人員還發(fā)現(xiàn)儲存網(wǎng)站源代碼的Git庫的URL����,會直接透露出數(shù)據(jù)庫的名稱和創(chuàng)建者。這些攻擊者僅需一個密碼�����,再配合泄露的憑證信息就能強(qiáng)行訪問數(shù)據(jù)庫����,這比同時(shí)去猜測出用戶名以及密碼之后才能訪問數(shù)據(jù)庫的方式要快得多��。
此外���,研究人員還發(fā)現(xiàn)了一個.DS_Store的文件,該文件保存了開發(fā)者電腦的元數(shù)據(jù)�,并且會暴露出網(wǎng)站項(xiàng)目文件所在目錄中的文件和文件夾的名稱。
攻擊者可以利用有關(guān)網(wǎng)站結(jié)構(gòu)的信息來確定開發(fā)者在開發(fā)過程中所采用到的技術(shù)�,然后把整個過程簡化一下��,就可以直接達(dá)到直接入侵網(wǎng)站的目的��。
郵件通信過程中�����,要時(shí)刻保持警惕
研究人員還發(fā)現(xiàn)�, "hola "郵件地址的電子郵件憑證也是個敏感信息。有些人可能會直接用歡迎郵件的憑證去直接劫持官方通信渠道���,或者直接從一個受信任的公司的電子郵件中向客戶發(fā)送釣魚郵件���。
通過這種方式,攻擊者還可以訪問到以前與該公司通信過的客戶敏感信息��,比如賬戶密碼或個人身份信息(PII)。
如何保護(hù)你的數(shù)據(jù)�����?
雖然研究人員不知道數(shù)據(jù)庫具體有哪些內(nèi)容����,但里面很可能儲存了該公司客戶的個人身份信息(PII)。如果你之前有使用過dimasvolvo.com.br�,那么為了保護(hù)你的數(shù)據(jù),Cybernews建議要采取點(diǎn)安全防護(hù)措施���,以減少一些你賬戶的潛在威脅�����。
那么要想保障你的賬戶安全�,在接收電子郵件時(shí)要格外小心謹(jǐn)慎���,不要隨便點(diǎn)擊鏈接����,時(shí)刻保持警惕��。最好你還能偶爾更改一下電子郵件地址,或通過谷歌認(rèn)證器等應(yīng)用程序?qū)嵤㏕OTP 2FA(基于時(shí)間的一次性密碼生成器)�����,這樣更能保障你郵件地址的安全性�����。
不過如果是你的電話號碼泄露了��,那你可能會被垃圾郵件或釣魚短信和電話輪番轟炸����。但對于大多數(shù)人來說��,更換電話號碼可能有點(diǎn)麻煩����,不過你可以考慮聯(lián)系一下你的服務(wù)提供商,這樣他們就能在你的賬戶被人惡意修改之前�����,采取一些安全措施以保障你的信息安全���。
Cybernews建議�����,如果想減少Dimas Volvo公司的風(fēng)險(xiǎn)��,最好是可以重置下Laravel應(yīng)用程序的密鑰以及MySQL和Redis數(shù)據(jù)庫的憑證��,或者也可以直接改變數(shù)據(jù)庫端口并生成新的電子郵件憑證��。由于賬戶和庫名稱在Git中通常是不可更改的�����,所以如果必要的話可以直接刪除�����。
此外��,為了防止出現(xiàn)更大的安全隱患情況����,也可以由公司出面,直接要求物聯(lián)網(wǎng)(IoT)搜索引擎消除掉帶有.DS_Store文件的索引信息。
汽車行業(yè)的數(shù)據(jù)泄露情況并不是個例
沃爾沃這次的客戶信息泄露事件��,在整個汽車行業(yè)里并不是個例���。此前每年生產(chǎn)約250萬輛汽車的德國豪華汽車制造商寶馬公司����,其客戶的敏感信息也曾被公開過���,攻擊者會直接竊取寶馬意大利網(wǎng)站的源代碼和客戶信息�。
Cybernews還了解到�����,之前在意大利��,日本跨國汽車制造商豐田也曾不小心出過類似的事情����。在客戶信息泄露的整整一年半的時(shí)間里�,攻擊者都能直接給豐田的客戶在網(wǎng)上直接發(fā)些釣魚活動,這對那些客戶的信息安全造成了很大的威脅����。
來源: FreeBuf.COM
