铃木汽车两家经销商泄露了敏感信息
铃木汽车公司是全球第十大汽车制造商,净资产达176亿美元。Cybernews网络安全研究团队最近发现,有两个铃木汽车授权经销商网站泄露了顾客的敏感信息,本应安全保密的文件一度允许公开访问。
据了解,在本次安全事件中,任何人都能够获取用于访问用户数据、业务管理工具或网站管理的密码和令牌。研究人员表示,这些泄露表明,地区经销商尚未适应不断变化的威胁环境,需要更严格的网络安全措施。
事件中的第一家经销商位于巴西,这是一个有着2.143亿人口的市场,并且犯罪率相对较高。第二家经销商位于巴林,这是一个位于中东的岛国,人口为146万。
受影响的巴西经销商Suzukiveiculos.com.br隶属于Hpe Automatores Do Brasil——该公司还拥有一家年产12万辆汽车的工厂,主要生产三菱和铃木车型。他们声称拥有2500多名直接和间接雇员。巴西铃木网站的一些敏感信息被意外公开,使得攻击者相对容易进行各种攻击。研究人员在泄露数据中发现了内容分发网络(CDN)GoChache的终端和密钥、MySQL数据库、SMTP凭证,以及应用程序本身和外部第三方服务的各种密钥。
而巴林的这家经销商,亦是该国唯一的一家铃木汽车经销商,由成立于1973年的Mohammed Jalal & Sons运营,其未能对Laravel应用程序密钥、数据库和SMTP凭证妥善加以保护。
对于本次泄露的危害,Cybernews研究人员解释道:不法分子能够利用这些凭证通过官方经销商渠道向客户发送钓鱼邮件、入侵网站后访问用户信息、改变网站的运行方式、破坏网站使用的安全措施等。
到目前为止,尚不清楚是否有任何攻击者成功截获了这些数据。Cybernews的研究人员已经联系了这两家公司,并且在那之后漏洞也已经迅速得到了修复。
需要注意到,汽车价格比较高昂,其买家无疑会是网络犯罪分子眼中的香饽饽,这也使得从汽车制造商和经销商处收集到的客户信息在黑客论坛上非常有价值。在本案例中,SMTP凭证会允许攻击者通过该网站的官方电子邮件地址向其用户发送恶意邮件,实现更高效的网络钓鱼攻击;而数据库凭证则允许攻击者访问数据库的内容,其中可能会包含有用户的敏感信息(例如姓名、地址、电子邮件地址、车牌号、电话号码、密码和税号等)。
来源:Cybernews、看雪学苑