BMW官網出現漏洞　客戶資料外流風險大增

編譯／鄭智懷

近年來，有關如何入侵汽車系統，導致資訊安全危害的消息屢屢攻佔新聞頭條。然而，各汽車大廠卻似不聞不問，安全破口的數量與危害程度不斷創下新高，甚至越來越離奇。媒體揭露，BMW官網出現不安全的設定，使公司商業機密，乃至客戶資料外流大為提高。

資安媒體Cybernews指出，旗下研究團隊發現BMW官網上的.env與.git檔案並未設定任何保護措施，宛如邀請駭客下載並利用該數據。

該團隊表示，雖然上述檔案並不足以讓駭客直接破壞網站運作，但是可以將其用於偵查、發現，以及蒐集系統資訊，藉此引導攻擊方前往儲存公司與客戶資料之處，或是找到其他可以利用的漏洞。

研究團隊提到：「這一發現顯示即使是知名且值得信任的大廠也可能擁有非常不安全的安全設定，進而允許攻擊者破壞系統、竊資客戶資料，或是通過網路進行橫向移動」。團隊進一步補充，由於汽車大廠的客戶眾多，通常持有更多資料，往往成為攻擊者垂涎的高價值目標。

根據Cybernews的研究，BMW收集的客戶資料姓名、地址、電話號碼與電子郵件地址，以及車輛與合約資訊。上述的資料足以讓駭客發起網路釣魚及憑證填充攻。另外，假使客戶安裝了連接程式，則犯罪分子可以藉其了解車輛技術訊息與手機位置，進而導致車輛被偷走。

Cybernews建議，雖然前述資料號稱由製造商保護，但仍建議大眾應隨時保持警惕，留意任何可疑電子郵件和銀行訊息。

資料來源：Cybernews

瀏覽 487 次