沃爾沃作為一家瑞典豪華汽車制造商，旗下?lián)碛谐^95,000名員工，每年能夠銷售近70萬輛汽車。沃爾沃的客群基本上是一些有一定經(jīng)濟實力的客戶，這對于一些犯罪分子來說無疑是塊極具吸引力的“肥肉”。

據(jù)網(wǎng)絡(luò)新聞研究小組調(diào)查發(fā)現(xiàn)，巴西的沃爾沃汽車零售商Dimas Volvo在近一年時間里都在持續(xù)通過其網(wǎng)站泄露敏感文件，這些信息可能會被一些不懷好意的人拿來用于劫持官方通信渠道或者直接入侵公司的系統(tǒng)。

美國數(shù)字安全調(diào)查媒體的相關(guān)人員聯(lián)系了Dimas Volvo和負(fù)責(zé)沃爾沃總部數(shù)據(jù)保護的相關(guān)官員，了解到目前這個信息泄漏的問題已經(jīng)得到了妥善的解決。

曝光的敏感文件包含用戶私人數(shù)據(jù)

2023年2月17日，Cybernews研究團隊發(fā)現(xiàn)從dimasvolvo.com.br網(wǎng)站上，可以直接訪問到一些涉及用于敏感信息的文件，而這些信息都是來自于巴西圣卡塔琳娜地區(qū)的一家沃爾沃零售商。

信息不僅包括數(shù)據(jù)庫的認(rèn)證信息，還包括了MySQL和Redis數(shù)據(jù)庫主機、開放端口和證書信息等。攻擊者只需用這些憑證就能進一步利用數(shù)據(jù)庫的內(nèi)容，而數(shù)據(jù)庫內(nèi)很可能存儲了用戶的私人數(shù)據(jù)。

不僅如此，研究人員還偶然發(fā)現(xiàn)了該網(wǎng)站的Laravel應(yīng)用程序密鑰。這個密鑰一旦泄露了風(fēng)險極高，因為它可能被用來解密用戶的cookies，而這些cookies通常包含用戶的一些憑證信息或會話ID這些敏感信息，而攻擊者可以利用這些數(shù)據(jù)來劫持這些人的賬戶。

Git庫會直接暴露數(shù)據(jù)庫名稱和初始創(chuàng)建者

在泄露的數(shù)據(jù)中，研究人員還發(fā)現(xiàn)儲存網(wǎng)站源代碼的Git庫的URL，會直接透露出數(shù)據(jù)庫的名稱和創(chuàng)建者。這些攻擊者僅需一個密碼，再配合泄露的憑證信息就能強行訪問數(shù)據(jù)庫，這比同時去猜測出用戶名以及密碼之后才能訪問數(shù)據(jù)庫的方式要快得多。

此外，研究人員還發(fā)現(xiàn)了一個.DS_Store的文件，該文件保存了開發(fā)者電腦的元數(shù)據(jù)，并且會暴露出網(wǎng)站項目文件所在目錄中的文件和文件夾的名稱。

攻擊者可以利用有關(guān)網(wǎng)站結(jié)構(gòu)的信息來確定開發(fā)者在開發(fā)過程中所采用到的技術(shù)，然后把整個過程簡化一下，就可以直接達到直接入侵網(wǎng)站的目的。

郵件通信過程中，要時刻保持警惕

研究人員還發(fā)現(xiàn)， "hola "郵件地址的電子郵件憑證也是個敏感信息。有些人可能會直接用歡迎郵件的憑證去直接劫持官方通信渠道，或者直接從一個受信任的公司的電子郵件中向客戶發(fā)送釣魚郵件。

通過這種方式，攻擊者還可以訪問到以前與該公司通信過的客戶敏感信息，比如賬戶密碼或個人身份信息（PII）。

如何保護你的數(shù)據(jù)？

雖然研究人員不知道數(shù)據(jù)庫具體有哪些內(nèi)容，但里面很可能儲存了該公司客戶的個人身份信息（PII）。如果你之前有使用過dimasvolvo.com.br，那么為了保護你的數(shù)據(jù)，Cybernews建議要采取點安全防護措施，以減少一些你賬戶的潛在威脅。

那么要想保障你的賬戶安全，在接收電子郵件時要格外小心謹(jǐn)慎，不要隨便點擊鏈接，時刻保持警惕。最好你還能偶爾更改一下電子郵件地址，或通過谷歌認(rèn)證器等應(yīng)用程序?qū)嵤㏕OTP 2FA（基于時間的一次性密碼生成器），這樣更能保障你郵件地址的安全性。

不過如果是你的電話號碼泄露了，那你可能會被垃圾郵件或釣魚短信和電話輪番轟炸。但對于大多數(shù)人來說，更換電話號碼可能有點麻煩，不過你可以考慮聯(lián)系一下你的服務(wù)提供商，這樣他們就能在你的賬戶被人惡意修改之前，采取一些安全措施以保障你的信息安全。

Cybernews建議，如果想減少Dimas Volvo公司的風(fēng)險，最好是可以重置下Laravel應(yīng)用程序的密鑰以及MySQL和Redis數(shù)據(jù)庫的憑證，或者也可以直接改變數(shù)據(jù)庫端口并生成新的電子郵件憑證。由于賬戶和庫名稱在Git中通常是不可更改的，所以如果必要的話可以直接刪除。

此外，為了防止出現(xiàn)更大的安全隱患情況，也可以由公司出面，直接要求物聯(lián)網(wǎng)（IoT）搜索引擎消除掉帶有.DS_Store文件的索引信息。

汽車行業(yè)的數(shù)據(jù)泄露情況并不是個例

沃爾沃這次的客戶信息泄露事件，在整個汽車行業(yè)里并不是個例。此前每年生產(chǎn)約250萬輛汽車的德國豪華汽車制造商寶馬公司，其客戶的敏感信息也曾被公開過，攻擊者會直接竊取寶馬意大利網(wǎng)站的源代碼和客戶信息。

Cybernews還了解到，之前在意大利，日本跨國汽車制造商豐田也曾不小心出過類似的事情。在客戶信息泄露的整整一年半的時間里，攻擊者都能直接給豐田的客戶在網(wǎng)上直接發(fā)些釣魚活動，這對那些客戶的信息安全造成了很大的威脅。