在當(dāng)今數(shù)字化飛速發(fā)展的時(shí)代，數(shù)據(jù)安全已成為企業(yè)和個(gè)人不可忽視的重要問題。最近，汽車巨頭寶馬和奔馳相繼爆發(fā)數(shù)據(jù)泄露事件，引發(fā)了廣泛關(guān)注和警惕。這些事件不僅暴露了企業(yè)的敏感信息，也凸顯了在數(shù)字化轉(zhuǎn)型過程中面臨的安全挑戰(zhàn)。

寶馬私鑰和內(nèi)部數(shù)據(jù)等敏感信息暴露

據(jù)外媒 TechCrunch 近日報(bào)道，汽車巨頭寶馬的云存儲服務(wù)器發(fā)生配置錯(cuò)誤事件，導(dǎo)致私鑰和內(nèi)部數(shù)據(jù)等敏感信息暴露。

研究人員 Can Yoleri 表示，其在例行掃描時(shí)發(fā)現(xiàn)寶馬開發(fā)環(huán)境中的微軟 Azure 托管存儲服務(wù)器（也稱“存儲桶”）被配置為公共而非私有。

Yoleri 補(bǔ)充說，該存儲桶中包含“腳本文件，其中包括 Azure 容器訪問信息、訪問私有存儲服務(wù)器地址的密鑰以及其他云服務(wù)的詳細(xì)信息”。

根據(jù) TechCrunch 了解到的信息，此次暴露的數(shù)據(jù)包括寶馬在中國、歐洲和美國的云服務(wù)私鑰，以及寶馬生產(chǎn)和開發(fā)數(shù)據(jù)庫的登錄憑證，不過目前尚不清楚具體有多少數(shù)據(jù)被暴露。

寶馬發(fā)言人已證實(shí)，此次數(shù)據(jù)泄露影響了基于存儲開發(fā)環(huán)境的微軟 Azure 存儲桶，并表示沒有客戶或個(gè)人數(shù)據(jù)因此受到影響。該發(fā)言人補(bǔ)充說：“寶馬集團(tuán)已于 2024 年初修復(fù)了這一問題，我們將繼續(xù)與合作伙伴一起監(jiān)控情況?！?

寶馬公司不愿給出云存儲服務(wù)器暴露事件持續(xù)了多長時(shí)間，也不愿透露被暴露的數(shù)據(jù)是否已遭惡意訪問。根據(jù)研究人員 Yoleri 的說法，寶馬還未撤銷或更改在被暴露的云存儲服務(wù)器中發(fā)現(xiàn)的密碼和憑證集。

奔馳源代碼意外泄露，暴露內(nèi)部敏感數(shù)據(jù)

近日，RedHunt 實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)，梅賽德斯-奔馳無意中留下了可在線訪問的私鑰，暴露了內(nèi)部數(shù)據(jù)，包括公司的源代碼。目前尚不清楚數(shù)據(jù)泄露是否暴露了客戶數(shù)據(jù)。

2023 年 9 月 29 日，RedHunt Labs 的研究人員在一個(gè)屬于 Mercedez 員工的公共倉庫中發(fā)現(xiàn)了一個(gè) GitHub 令牌，該令牌可以訪問公司內(nèi)部的 GitHub 企業(yè)服務(wù)器。RedHunt Labs 在公告中寫道：GitHub 令牌允許'不受限制'和'不受監(jiān)控'地訪問托管在內(nèi)部 GitHub 企業(yè)服務(wù)器上的全部源代碼。

該事件導(dǎo)致存放大量知識產(chǎn)權(quán)的敏感存儲庫數(shù)據(jù)泄露。其中，被泄露的信息包括數(shù)據(jù)庫連接字符串、云訪問密鑰、藍(lán)圖、設(shè)計(jì)文檔、SSO 密碼、API 密鑰和其他敏感內(nèi)部信息。

源代碼泄露可能會導(dǎo)致競爭對手對專有技術(shù)進(jìn)行逆向工程，黑客很可能通過這種方式發(fā)現(xiàn)汽車系統(tǒng)中的潛在漏洞。

此外，API 密鑰暴露可能會導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問、服務(wù)中斷以及出于惡意目的濫用公司的基礎(chǔ)設(shè)施。

RedHunt 實(shí)驗(yàn)室還提到，如果被暴露的存儲庫中包含客戶數(shù)據(jù)，則有可能觸犯法律，比如違反 GDPR。不過，研究人員尚未驗(yàn)證被暴露文件的內(nèi)容。

RedHunt 在 TechCrunch 的幫助下，于 2024 年 1 月 22 日向梅賽德斯-奔馳通報(bào)了令牌泄露事件，并在兩天后撤銷了該令牌，阻止了所有持有和濫用令牌者的非法訪問。

數(shù)據(jù)安全是一個(gè)永恒的挑戰(zhàn)

奔馳和寶馬源碼泄露事件是對數(shù)字化時(shí)代企業(yè)數(shù)據(jù)安全挑戰(zhàn)的一個(gè)提醒，即使是全球知名的汽車制造商，也無法完全擺脫數(shù)據(jù)泄露和安全漏洞的風(fēng)險(xiǎn)。

隨著企業(yè)越來越依賴云存儲和軟件開發(fā)工具，他們的數(shù)據(jù)暴露于更多的潛在風(fēng)險(xiǎn)之中。在奔馳的情況中，GitHub私鑰的泄露使得攻擊者可以訪問企業(yè)的核心代碼，這直接暴露了公司的技術(shù)秘密和商業(yè)機(jī)密。而寶馬的情況則顯示了即使是存儲在云平臺上的數(shù)據(jù)也可能受到威脅，一旦配置錯(cuò)誤，就會導(dǎo)致敏感信息的泄露。

其次，這些事件突顯了企業(yè)在內(nèi)部安全管理方面的不足。無論是奔馳還是寶馬，都有可能出現(xiàn)員工疏忽或管理失誤，導(dǎo)致關(guān)鍵信息的暴露。對內(nèi)部權(quán)限的管理、員工培訓(xùn)和安全意識的提升都是至關(guān)重要的，以減少類似事件的發(fā)生。

總的來說，奔馳和寶馬源碼泄露事件是一個(gè)警示，提醒我們在數(shù)字化時(shí)代，數(shù)據(jù)安全是一個(gè)永恒的挑戰(zhàn)，需要企業(yè)、個(gè)人和社會共同努力來應(yīng)對和解決。