傳統(tǒng)機動車制造廠商近來麻煩不斷，繼去年本田遭遇勒索軟件攻擊、奔馳數(shù)據(jù)泄露、伊始川崎重工和日產公司又接連曝出數(shù)據(jù)泄露事故。

　　本周一，日產北美公司一臺配置錯誤（使用了默認的管理員用戶名密碼組合：admin/admin）的Bitbucket Git服務器的信息在Telegram頻道和黑客論壇上開始傳播，直到周三該服務器才脫機。

　　據(jù)悉，該服務器是存有日產北美公司開發(fā)和正在使用的移動應用程序和內部工具的源代碼，目前已在線泄漏。

　　一位瑞士軟件工程師Tillie Kottmann本周接受媒體采訪時透露，他從匿名來源獲悉泄漏，并于周一分析了日產數(shù)據(jù)，發(fā)現(xiàn)泄露的Git存儲庫包含以下源代碼：

　　日產NA Mobile應用程序

　　部分日產ASIST診斷工具

　　經銷商業(yè)務系統(tǒng)/經銷商門戶

　　日產內部核心移動代碼庫

　　日產/英菲尼迪NCAR/ICAR服務

　　客戶獲取與保留工具

　　銷售/市場研究工具+數(shù)據(jù)

　　各種營銷工具

　　車輛物流門戶

　　車輛聯(lián)網服務/日產聯(lián)網

　　以及其他各種后端和內部工具

　　未能吸取奔馳的慘痛教訓

　　日產發(fā)言人已經向媒體確認了該數(shù)據(jù)泄露事件。一位日產汽車發(fā)言人在回復媒體詢問的電子郵件中表示：“我們知道有關對日產汽車機密信息和源代碼泄露的報道，我們認真對待此事件，并正在進行調查?！?/p>

　　值得注意的是，這不是瑞士研究人員Kottmann第一次發(fā)現(xiàn)汽車廠商Git服務器數(shù)據(jù)泄露。2020年5月，Kottmann曾發(fā)現(xiàn)類似配置錯誤的GitLab服務器泄露了各種梅賽德斯奔馳應用程序和工具源代碼。

　　Kottmann在奔馳公司的Git代碼托管門戶網站上注冊了一個賬戶，然后成功下載了580多個Git存儲庫，其中包含梅賽德斯貨車中的板載邏輯單元（OLU）的源代碼。（OLU是介于汽車硬件和軟件之間的組件，負責“將汽車連接到云端”。）其他泄露數(shù)據(jù)還包括Raspberry Pi映像、服務器映像、用于管理遠程OLU的內部Daimler組件、內部文檔、代碼示例等。

　　雖然這些泄露數(shù)據(jù)看上去人畜無害，但是威脅情報公司Under Breach在審計泄露數(shù)據(jù)后發(fā)現(xiàn)了戴姆勒內部系統(tǒng)的密碼和API令牌。這些密碼和訪問令牌如果使用不當，可能會被用來計劃和安裝將來針對奔馳公司云服務和內部網絡的攻擊。

　　數(shù)據(jù)泄露依然是最大的云安全威脅，而配置錯誤是數(shù)據(jù)泄露的主要原因

　　尼桑和奔馳公司Git服務器泄露的數(shù)據(jù)以源代碼為主，事實上，源代碼也是中國企業(yè)在線暴露和泄露的主要資產之一。

　　根據(jù)數(shù)字觀星上周在安全牛發(fā)布的《數(shù)字資產暴露面風險報告》，系統(tǒng)源碼和技術方案占據(jù)中國企業(yè)外部數(shù)據(jù)泄露類型61%（下圖），分析發(fā)現(xiàn)泄露系統(tǒng)源碼中含有密碼密鑰風險最高，也是眾多運營單位用戶最為關注的外部數(shù)據(jù)泄露風險。

　　由于知識共享、知識付費的興起，越來越多的用戶將自己編寫的代碼、文檔作為經驗、工具分享至第三方開源社區(qū)和知識付費平臺。內部數(shù)據(jù)外泄，容易成為攻擊者和黑客社工利用重要渠道，分析發(fā)現(xiàn)在Github和百度文庫共享導致數(shù)據(jù)泄露比例高達60%。

　　此外，根據(jù)云安全聯(lián)盟（CSA）2020年10月推出的《云計算11大威脅報告》，數(shù)據(jù)泄露威脅在2020年的調查中繼續(xù)蟬聯(lián)第一的位置，也是最嚴重的云安全威脅。而配置錯誤和變更控制不足則是2020年CSA云安全威脅榜單中出現(xiàn)的新威脅。

　　CSA認為，配置錯誤和變更控制不充分的關鍵原因包括：

　　云端資源的復雜性使其難以配置；

　　不要期望傳統(tǒng)的控制和變更管理方法在云中有效；

　　使用自動化和技術，這些技術會連續(xù)掃描錯誤配置的資源。

　　近年來越來越多的企業(yè)都因為配置和變更的疏忽或意外通過云公開暴露資產、泄露數(shù)據(jù)，其中Elasticsearch數(shù)據(jù)庫的多次大規(guī)模泄露事件尤其引人注目。