2191
近20家车企存在API安全漏洞,黑客能远程解锁、启动车辆、跟踪汽车行踪,窃取车主个人信息。
近日,据海外媒体TechCrunch报道,汽车巨头宝马的云存储服务器发生配置错误事件,导致私钥和内部数据等敏感信息暴露。
消息经披露后,有宝马发言人已证实,此次数据泄露影响了基于存储开发环境的微软 Azure 存储桶,并表示没有客户或个人数据因此受到影响。该发言人还补充:“宝马集团已于2024年初修复了这一问题,我们将继续与合作伙伴一起监控情况。”
据研究人员 Can Yoleri 报告,他在例行扫描中意外发现,宝马在微软 Azure 平台上的云存储服务器(也被称为“存储桶”)配置错误,被设置为公共访问状态,而非预期的私有状态。这一严重的配置错误导致宝马的私钥、内部数据以及其他敏感信息暴露于公众视野。Yoleri 在详细报告中指出,这个被错误配置的存储桶中包含了大量的敏感信息,其中包括 Azure 容器的访问信息、访问私有存储服务器地址的密钥,以及其他与宝马云服务相关的详细信息。这些信息的泄露无疑为潜在的攻击者提供了一条入侵宝马云服务的捷径。
此次暴露的数据包括宝马在中国、欧洲和美国的云服务私钥,以及宝马生产和开发数据库的登录凭证,不过目前尚不清楚具体有多少数据被暴露。
不止是宝马,奔驰也有类似安全事故。据报道,奔驰近期也出现了类似的数据安全事故:安全实验室RedHunt从一名奔驰员工的代码仓库中发现了GitHub私钥,而这一私钥可访问奔驰企业内部GitHub服务器上的全部代码。
电车圈观察:
数据攻击者可以利用数据漏洞访问、修改、删除车主的账户,管理他们的车辆,甚至可以直接把自己设定为车主。这确实太疯狂了!
目前,除了宝马、奔驰,安全漏洞还在影响法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田等全球知名汽车品牌的用户数据安全。
这里我们还要特别提醒的是,购买二手车时,一定要确保前任车主的帐户已被彻底删除。如果有条件的话,尽量使用强密码,并为车辆的应用程序和服务设置双因素认证。
内容由作者提供,不代表易车立场
