傳統(tǒng)機(jī)動(dòng)車制造廠商近來(lái)麻煩不斷，繼去年本田遭遇勒索軟件攻擊、奔馳數(shù)據(jù)泄露、伊始川崎重工和日產(chǎn)公司又接連曝出數(shù)據(jù)泄露事故。

　　本周一，日產(chǎn)北美公司一臺(tái)配置錯(cuò)誤（使用了默認(rèn)的管理員用戶名密碼組合：admin/admin）的Bitbucket Git服務(wù)器的信息在Telegram頻道和黑客論壇上開(kāi)始傳播，直到周三該服務(wù)器才脫機(jī)。

　　據(jù)悉，該服務(wù)器是存有日產(chǎn)北美公司開(kāi)發(fā)和正在使用的移動(dòng)應(yīng)用程序和內(nèi)部工具的源代碼，目前已在線泄漏。

　　一位瑞士軟件工程師Tillie Kottmann本周接受媒體采訪時(shí)透露，他從匿名來(lái)源獲悉泄漏，并于周一分析了日產(chǎn)數(shù)據(jù)，發(fā)現(xiàn)泄露的Git存儲(chǔ)庫(kù)包含以下源代碼：

　　日產(chǎn)NA Mobile應(yīng)用程序

　　部分日產(chǎn)ASIST診斷工具

　　經(jīng)銷商業(yè)務(wù)系統(tǒng)/經(jīng)銷商門戶

　　日產(chǎn)內(nèi)部核心移動(dòng)代碼庫(kù)

　　日產(chǎn)/英菲尼迪NCAR/ICAR服務(wù)

　　客戶獲取與保留工具

　　銷售/市場(chǎng)研究工具+數(shù)據(jù)

　　各種營(yíng)銷工具

　　車輛物流門戶

　　車輛聯(lián)網(wǎng)服務(wù)/日產(chǎn)聯(lián)網(wǎng)

　　以及其他各種后端和內(nèi)部工具

　　未能吸取奔馳的慘痛教訓(xùn)

　　日產(chǎn)發(fā)言人已經(jīng)向媒體確認(rèn)了該數(shù)據(jù)泄露事件。一位日產(chǎn)汽車發(fā)言人在回復(fù)媒體詢問(wèn)的電子郵件中表示：“我們知道有關(guān)對(duì)日產(chǎn)汽車機(jī)密信息和源代碼泄露的報(bào)道，我們認(rèn)真對(duì)待此事件，并正在進(jìn)行調(diào)查。”

　　值得注意的是，這不是瑞士研究人員Kottmann第一次發(fā)現(xiàn)汽車廠商Git服務(wù)器數(shù)據(jù)泄露。2020年5月，Kottmann曾發(fā)現(xiàn)類似配置錯(cuò)誤的GitLab服務(wù)器泄露了各種梅賽德斯奔馳應(yīng)用程序和工具源代碼。

　　Kottmann在奔馳公司的Git代碼托管門戶網(wǎng)站上注冊(cè)了一個(gè)賬戶，然后成功下載了580多個(gè)Git存儲(chǔ)庫(kù)，其中包含梅賽德斯貨車中的板載邏輯單元（OLU）的源代碼。（OLU是介于汽車硬件和軟件之間的組件，負(fù)責(zé)“將汽車連接到云端”。）其他泄露數(shù)據(jù)還包括Raspberry Pi映像、服務(wù)器映像、用于管理遠(yuǎn)程OLU的內(nèi)部Daimler組件、內(nèi)部文檔、代碼示例等。

　　雖然這些泄露數(shù)據(jù)看上去人畜無(wú)害，但是威脅情報(bào)公司Under Breach在審計(jì)泄露數(shù)據(jù)后發(fā)現(xiàn)了戴姆勒內(nèi)部系統(tǒng)的密碼和API令牌。這些密碼和訪問(wèn)令牌如果使用不當(dāng)，可能會(huì)被用來(lái)計(jì)劃和安裝將來(lái)針對(duì)奔馳公司云服務(wù)和內(nèi)部網(wǎng)絡(luò)的攻擊。

　　數(shù)據(jù)泄露依然是最大的云安全威脅，而配置錯(cuò)誤是數(shù)據(jù)泄露的主要原因

　　尼桑和奔馳公司Git服務(wù)器泄露的數(shù)據(jù)以源代碼為主，事實(shí)上，源代碼也是中國(guó)企業(yè)在線暴露和泄露的主要資產(chǎn)之一。

　　根據(jù)數(shù)字觀星上周在安全牛發(fā)布的《數(shù)字資產(chǎn)暴露面風(fēng)險(xiǎn)報(bào)告》，系統(tǒng)源碼和技術(shù)方案占據(jù)中國(guó)企業(yè)外部數(shù)據(jù)泄露類型61%（下圖），分析發(fā)現(xiàn)泄露系統(tǒng)源碼中含有密碼密鑰風(fēng)險(xiǎn)最高，也是眾多運(yùn)營(yíng)單位用戶最為關(guān)注的外部數(shù)據(jù)泄露風(fēng)險(xiǎn)。

　　由于知識(shí)共享、知識(shí)付費(fèi)的興起，越來(lái)越多的用戶將自己編寫的代碼、文檔作為經(jīng)驗(yàn)、工具分享至第三方開(kāi)源社區(qū)和知識(shí)付費(fèi)平臺(tái)。內(nèi)部數(shù)據(jù)外泄，容易成為攻擊者和黑客社工利用重要渠道，分析發(fā)現(xiàn)在Github和百度文庫(kù)共享導(dǎo)致數(shù)據(jù)泄露比例高達(dá)60%。

　　此外，根據(jù)云安全聯(lián)盟（CSA）2020年10月推出的《云計(jì)算11大威脅報(bào)告》，數(shù)據(jù)泄露威脅在2020年的調(diào)查中繼續(xù)蟬聯(lián)第一的位置，也是最嚴(yán)重的云安全威脅。而配置錯(cuò)誤和變更控制不足則是2020年CSA云安全威脅榜單中出現(xiàn)的新威脅。

　　CSA認(rèn)為，配置錯(cuò)誤和變更控制不充分的關(guān)鍵原因包括：

　　云端資源的復(fù)雜性使其難以配置；

　　不要期望傳統(tǒng)的控制和變更管理方法在云中有效；

　　使用自動(dòng)化和技術(shù)，這些技術(shù)會(huì)連續(xù)掃描錯(cuò)誤配置的資源。

　　近年來(lái)越來(lái)越多的企業(yè)都因?yàn)榕渲煤妥兏氖韬龌蛞馔馔ㄟ^(guò)云公開(kāi)暴露資產(chǎn)、泄露數(shù)據(jù)，其中Elasticsearch數(shù)據(jù)庫(kù)的多次大規(guī)模泄露事件尤其引人注目。