沃爾沃作為一家瑞典豪華汽車制造商，旗下?lián)碛谐^(guò)95,000名員工，每年能夠銷售近70萬(wàn)輛汽車。沃爾沃的客群基本上是一些有一定經(jīng)濟(jì)實(shí)力的客戶，這對(duì)于一些犯罪分子來(lái)說(shuō)無(wú)疑是塊極具吸引力的“肥肉”。

據(jù)網(wǎng)絡(luò)新聞研究小組調(diào)查發(fā)現(xiàn)，巴西的沃爾沃汽車零售商Dimas Volvo在近一年時(shí)間里都在持續(xù)通過(guò)其網(wǎng)站泄露敏感文件，這些信息可能會(huì)被一些不懷好意的人拿來(lái)用于劫持官方通信渠道或者直接入侵公司的系統(tǒng)。

美國(guó)數(shù)字安全調(diào)查媒體的相關(guān)人員聯(lián)系了Dimas Volvo和負(fù)責(zé)沃爾沃總部數(shù)據(jù)保護(hù)的相關(guān)官員，了解到目前這個(gè)信息泄漏的問(wèn)題已經(jīng)得到了妥善的解決。

曝光的敏感文件包含用戶私人數(shù)據(jù)

2023年2月17日，Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)從dimasvolvo.com.br網(wǎng)站上，可以直接訪問(wèn)到一些涉及用于敏感信息的文件，而這些信息都是來(lái)自于巴西圣卡塔琳娜地區(qū)的一家沃爾沃零售商。

信息不僅包括數(shù)據(jù)庫(kù)的認(rèn)證信息，還包括了MySQL和Redis數(shù)據(jù)庫(kù)主機(jī)、開放端口和證書信息等。攻擊者只需用這些憑證就能進(jìn)一步利用數(shù)據(jù)庫(kù)的內(nèi)容，而數(shù)據(jù)庫(kù)內(nèi)很可能存儲(chǔ)了用戶的私人數(shù)據(jù)。

不僅如此，研究人員還偶然發(fā)現(xiàn)了該網(wǎng)站的Laravel應(yīng)用程序密鑰。這個(gè)密鑰一旦泄露了風(fēng)險(xiǎn)極高，因?yàn)樗赡鼙挥脕?lái)解密用戶的cookies，而這些cookies通常包含用戶的一些憑證信息或會(huì)話ID這些敏感信息，而攻擊者可以利用這些數(shù)據(jù)來(lái)劫持這些人的賬戶。

Git庫(kù)會(huì)直接暴露數(shù)據(jù)庫(kù)名稱和初始創(chuàng)建者

在泄露的數(shù)據(jù)中，研究人員還發(fā)現(xiàn)儲(chǔ)存網(wǎng)站源代碼的Git庫(kù)的URL，會(huì)直接透露出數(shù)據(jù)庫(kù)的名稱和創(chuàng)建者。這些攻擊者僅需一個(gè)密碼，再配合泄露的憑證信息就能強(qiáng)行訪問(wèn)數(shù)據(jù)庫(kù)，這比同時(shí)去猜測(cè)出用戶名以及密碼之后才能訪問(wèn)數(shù)據(jù)庫(kù)的方式要快得多。

此外，研究人員還發(fā)現(xiàn)了一個(gè).DS_Store的文件，該文件保存了開發(fā)者電腦的元數(shù)據(jù)，并且會(huì)暴露出網(wǎng)站項(xiàng)目文件所在目錄中的文件和文件夾的名稱。

攻擊者可以利用有關(guān)網(wǎng)站結(jié)構(gòu)的信息來(lái)確定開發(fā)者在開發(fā)過(guò)程中所采用到的技術(shù)，然后把整個(gè)過(guò)程簡(jiǎn)化一下，就可以直接達(dá)到直接入侵網(wǎng)站的目的。

郵件通信過(guò)程中，要時(shí)刻保持警惕

研究人員還發(fā)現(xiàn)， "hola "郵件地址的電子郵件憑證也是個(gè)敏感信息。有些人可能會(huì)直接用歡迎郵件的憑證去直接劫持官方通信渠道，或者直接從一個(gè)受信任的公司的電子郵件中向客戶發(fā)送釣魚郵件。

通過(guò)這種方式，攻擊者還可以訪問(wèn)到以前與該公司通信過(guò)的客戶敏感信息，比如賬戶密碼或個(gè)人身份信息（PII）。

如何保護(hù)你的數(shù)據(jù)？

雖然研究人員不知道數(shù)據(jù)庫(kù)具體有哪些內(nèi)容，但里面很可能儲(chǔ)存了該公司客戶的個(gè)人身份信息（PII）。如果你之前有使用過(guò)dimasvolvo.com.br，那么為了保護(hù)你的數(shù)據(jù)，Cybernews建議要采取點(diǎn)安全防護(hù)措施，以減少一些你賬戶的潛在威脅。

那么要想保障你的賬戶安全，在接收電子郵件時(shí)要格外小心謹(jǐn)慎，不要隨便點(diǎn)擊鏈接，時(shí)刻保持警惕。最好你還能偶爾更改一下電子郵件地址，或通過(guò)谷歌認(rèn)證器等應(yīng)用程序?qū)嵤㏕OTP 2FA（基于時(shí)間的一次性密碼生成器），這樣更能保障你郵件地址的安全性。

不過(guò)如果是你的電話號(hào)碼泄露了，那你可能會(huì)被垃圾郵件或釣魚短信和電話輪番轟炸。但對(duì)于大多數(shù)人來(lái)說(shuō)，更換電話號(hào)碼可能有點(diǎn)麻煩，不過(guò)你可以考慮聯(lián)系一下你的服務(wù)提供商，這樣他們就能在你的賬戶被人惡意修改之前，采取一些安全措施以保障你的信息安全。

Cybernews建議，如果想減少Dimas Volvo公司的風(fēng)險(xiǎn)，最好是可以重置下Laravel應(yīng)用程序的密鑰以及MySQL和Redis數(shù)據(jù)庫(kù)的憑證，或者也可以直接改變數(shù)據(jù)庫(kù)端口并生成新的電子郵件憑證。由于賬戶和庫(kù)名稱在Git中通常是不可更改的，所以如果必要的話可以直接刪除。

此外，為了防止出現(xiàn)更大的安全隱患情況，也可以由公司出面，直接要求物聯(lián)網(wǎng)（IoT）搜索引擎消除掉帶有.DS_Store文件的索引信息。

汽車行業(yè)的數(shù)據(jù)泄露情況并不是個(gè)例

沃爾沃這次的客戶信息泄露事件，在整個(gè)汽車行業(yè)里并不是個(gè)例。此前每年生產(chǎn)約250萬(wàn)輛汽車的德國(guó)豪華汽車制造商寶馬公司，其客戶的敏感信息也曾被公開過(guò)，攻擊者會(huì)直接竊取寶馬意大利網(wǎng)站的源代碼和客戶信息。

Cybernews還了解到，之前在意大利，日本跨國(guó)汽車制造商豐田也曾不小心出過(guò)類似的事情。在客戶信息泄露的整整一年半的時(shí)間里，攻擊者都能直接給豐田的客戶在網(wǎng)上直接發(fā)些釣魚活動(dòng)，這對(duì)那些客戶的信息安全造成了很大的威脅。