近年來,車聯(lián)網(wǎng)產(chǎn)業(yè)快速發(fā)展,智能化、網(wǎng)聯(lián)化水平不斷提高。與此同時,互聯(lián)網(wǎng)安全威脅逐步向車聯(lián)網(wǎng)領(lǐng)域滲透,車聯(lián)網(wǎng)網(wǎng)絡(luò)安全風(fēng)險和挑戰(zhàn)日益顯現(xiàn)。智能網(wǎng)聯(lián)汽車、車聯(lián)網(wǎng)平臺等網(wǎng)絡(luò)攻擊對象更為廣泛,通信劫持、漏洞利用、平臺攻擊等控制車輛網(wǎng)絡(luò)的攻擊途徑更加多樣。
沃爾沃被曝用戶私人數(shù)據(jù)泄露
據(jù)網(wǎng)絡(luò)新聞研究小組調(diào)查發(fā)現(xiàn),巴西的沃爾沃汽車零售商Dimas Volvo在近一年時間里都在持續(xù)通過其網(wǎng)站泄露敏感文件,這些信息可能會被一些不懷好意的人拿來用于劫持官方通信渠道或者直接入侵公司的系統(tǒng)。
研究團(tuán)隊發(fā)現(xiàn),泄露的信息不僅包括數(shù)據(jù)庫的認(rèn)證信息,還包括了MySQL和Redis數(shù)據(jù)庫主機(jī)、開放端口和證書信息等。攻擊者只需用這些憑證就能進(jìn)一步利用數(shù)據(jù)庫的內(nèi)容,而數(shù)據(jù)庫內(nèi)很可能存儲了用戶的私人數(shù)據(jù)。
不僅如此,研究人員還偶然發(fā)現(xiàn)了該網(wǎng)站的Laravel應(yīng)用程序密鑰。這個密鑰一旦泄露了風(fēng)險極高,因為它可能被用來解密用戶的cookies,而這些cookies通常包含用戶的一些憑證信息或會話ID這些敏感信息,而攻擊者可以利用這些數(shù)據(jù)來劫持這些人的賬戶。
在泄露的數(shù)據(jù)中,研究人員還發(fā)現(xiàn)儲存網(wǎng)站源代碼的Git庫的URL,會直接透露出數(shù)據(jù)庫的名稱和創(chuàng)建者。這些攻擊者僅需一個密碼,再配合泄露的憑證信息就能強(qiáng)行訪問數(shù)據(jù)庫,這比同時去猜測出用戶名以及密碼之后才能訪問數(shù)據(jù)庫的方式要快得多。