元宇宙對隱私的“嗜血”變本加厲，西門子處境極其危險

西門子 Metaverse 是一個虛擬空間，用于鏡像真實的機器、工廠和其他高度復雜的系統，它暴露的敏感數據，包括公司的辦公計劃和物聯網 (IoT) 設備。

雖然 Metaverse （即 “元宇宙”）不再是流行語，但在 ChatGPT 和類似 AI 工具突然流行的情況下，這些虛擬世界仍然存在，為公司、用戶以及不幸的威脅參與者提供了令人興奮的機會。

收入超過 71 萬億美元、在全球擁有 300,000 名員工的德國跨國公司西門子也加入了元宇宙的行列。2022 年，與美國跨國科技公司英偉達合作，共建工業元宇宙。

最近，Cybernews 研究團隊發現西門子 Metaverse（一個旨在為其工廠和辦公室創建數字 “雙胞胎” 的平臺）正在泄露敏感信息。

如果攻擊者獲得了暴露的數據，可能會對該公司和其他使用其服務的大公司造成毀滅性后果，包括勒索軟件攻擊。

另一方面，西門子表示，“該問題并不嚴重，并且已得到緩解。”

Metaverse 泄漏：我們發現了什么

3 月1 日，Cybernews 研究團隊發現了一個托管在 metaverse.siemens.com 域中的環境文件。它包含 ComfyApp 憑據和端點，還發現西門子在受影響系統的不同端點上泄露了四組 WordPress 用戶以及三組后端和身份驗證端點 URL。

WordPress 只設置了暴露的用戶名和頭像圖片，但所有四個基于西門子 WordPress 的子域都容易受到 WordPress 本身在 2017 年修復的缺陷的影響，這讓研究人員懷疑這些網站上是否存在更嚴重的漏洞 。

后端和身份驗證端點 URL，用于在授予用戶訪問權限之前驗證用戶，可能導致攻擊者測試它們的漏洞并加以利用。

最令人擔憂的發現是暴露的辦公管理平臺 ComfyApp 用戶憑據。西門子擁有的應用程序有助于工作區管理，這意味著它需要敏感數據，包括平面圖、有關物聯網 (IoT) 設備的信息、員工日歷和室內圖片。

我們無法確定單獨使用 ComfyApp 憑據可以訪問上述數據中的多少。

Cybernews 的研究人員說：“我們真誠地希望威脅行為者在西門子設法修復之前沒有發現泄漏。鑒于西門子制造并維護著關鍵基礎設施所使用的大量技術和機器，一旦獲得訪問權限，他們就可以竊取大量敏感數據。”

Cybernews 團隊補充說：“西門子的客戶包括數十億美元的公司，處理極其敏感的數據，攻擊者肯定會發現它非常有價值。”

極具吸引力的目標

那么，如果有人登錄并偷看您的辦公室計劃和圖片，甚至是您的日歷怎么辦？員工很清楚他們不應該讓陌生人進入他們的辦公室，那么為什么數字工作場所的規則會有所不同呢？

Cybernews 研究人員說：“在窺探數字辦公室之后，攻擊者可以簡單地出現在實體辦公室，就好像他們在那里工作了多年，了解所有空間并熟悉智能空調等辦公設備。這只會讓攻擊者更容易闖入。”

而且他們不會只是為了偷筆而闖入。更有可能的是，他們會插入受感染的 USB 驅動器，最終甚至可能導致勒索軟件。

由于 Metaverse 的構建方式使其應具有最新的工廠數據，因此攻擊者甚至可以提取一些商業機密，例如制造技術。

“這里的威脅行為者有很多機會。但由于這是元宇宙技術在可能泄露敏感現實世界數據的情況下使用的首批案例之一，因此目前尚不清楚威脅參與者將采用何種方法來充分利用此類問題。” 研究小組說。