鈴木汽車公司是全球第十大汽車制造商,凈資產達176億美元。Cybernews網絡安全研究團隊最近發現,有兩個鈴木汽車授權經銷商網站泄露了顧客的敏感信息,本應安全保密的文件一度允許公開訪問。
據了解,在本次安全事件中,任何人都能夠獲取用于訪問用戶數據、業務管理工具或網站管理的密碼和令牌。研究人員表示,這些泄露表明,地區經銷商尚未適應不斷變化的威脅環境,需要更嚴格的網絡安全措施。
事件中的第一家經銷商位于巴西,這是一個有著2.143億人口的市場,并且犯罪率相對較高。第二家經銷商位于巴林,這是一個位于中東的島國,人口為146萬。
受影響的巴西經銷商Suzukiveiculos.com.br隸屬于Hpe Automatores Do Brasil——該公司還擁有一家年產12萬輛汽車的工廠,主要生產三菱和鈴木車型。他們聲稱擁有2500多名直接和間接雇員。巴西鈴木網站的一些敏感信息被意外公開,使得攻擊者相對容易進行各種攻擊。研究人員在泄露數據中發現了內容分發網絡(CDN)GoChache的終端和密鑰、MySQL數據庫、SMTP憑證,以及應用程序本身和外部第三方服務的各種密鑰。
而巴林的這家經銷商,亦是該國唯一的一家鈴木汽車經銷商,由成立于1973年的Mohammed Jalal & Sons運營,其未能對Laravel應用程序密鑰、數據庫和SMTP憑證妥善加以保護。
對于本次泄露的危害,Cybernews研究人員解釋道:不法分子能夠利用這些憑證通過官方經銷商渠道向客戶發送釣魚郵件、入侵網站后訪問用戶信息、改變網站的運行方式、破壞網站使用的安全措施等。
到目前為止,尚不清楚是否有任何攻擊者成功截獲了這些數據。Cybernews的研究人員已經聯系了這兩家公司,并且在那之后漏洞也已經迅速得到了修復。
需要注意到,汽車價格比較高昂,其買家無疑會是網絡犯罪分子眼中的香餑餑,這也使得從汽車制造商和經銷商處收集到的客戶信息在黑客論壇上非常有價值。在本案例中,SMTP憑證會允許攻擊者通過該網站的官方電子郵件地址向其用戶發送惡意郵件,實現更高效的網絡釣魚攻擊;而數據庫憑證則允許攻擊者訪問數據庫的內容,其中可能會包含有用戶的敏感信息(例如姓名、地址、電子郵件地址、車牌號、電話號碼、密碼和稅號等)。
