Uma brecha nos servidores pertencentes à fabricante de automóveis BMW poderia resultar em ataques aos serviços da empresa e seus clientes.
A infraestrutura desprotegida fazia parte das operações italianas da empresa e continha ambientes e arquivos com dados de configuração que, se explorados de maneira maliciosa, poderiam permitir intrusões nos sistemas internos e roubo de dados hospedados.
A descoberta foi feita pelos pesquisadores em segurança digital da Cybernews, que encontraram a infraestrutura mal configurada da empresa.
Dentro dela, havia arquivos nos formatos ENV e GIT, usados para configurar ambientes de desenvolvimento para o próprio site da BMW, além de outras plataformas digitais.
Essas informações não devem estar disponíveis ao público, pois podem conter segredos que comprometem a segurança.
De acordo com especialistas, a obtenção desses dados por criminosos poderia levar a uma análise minuciosa da estrutura usada pela BMW, revelando possíveis vulnerabilidades e pontos de entrada.
Para piorar as coisas, as informações sensíveis teriam sido geradas pelo Laravel, um framework de código aberto usado pela empresa no desenvolvimento de suas aplicações web; caso não esteja atualizado, ele pode ser suscetível a brechas conhecidas desde 2017, possibilitando a obtenção de dados sigilosos.
O problema se torna mais grave quando se leva em conta a tecnologia embarcada nos veículos da BMW, com informações pessoais dos condutores que podem ser armazenadas em servidores que poderiam ser acessados a partir de uma cadeia de comprometimento desse tipo.
Piora as coisas, ainda, a ideia de que os carros são de alto padrão, o que dá ainda mais valor aos dados pessoais possivelmente obtidos a partir de explorações desse tipo.
Trata-se de uma vulnerabilidade comum, com a empresa de cibersegurança citando uma pesquisa própria pela qual mais de 1,9 milhões de arquivos de configuração foram encontrados em servidores desprotegidos.
O Brasil, inclusive, apareceu com destaque nesse levantamento; em um universo no qual 2% de todas as infraestruturas globais expõem diretórios desse tipo, nosso país é o nono maior, com 53,4 mil detecções.
Como recomendação de segurança, não apenas à BMW, mas a outras empresas envolvidas em risco desse tipo, está a reinicialização de tokens do GitHub e dos demais ambientes de desenvolvimento, além de credenciais de acesso a bancos de dados.
Além disso, servidores públicos devem ter as portas de acesso limitadas e monitoradas para detectar intrusões, enquanto segredos, chaves de criptografia e demais dados desse tipo devem ser mantidos em infraestruturas protegidas.
Enquanto isso, não há informações sobre possíveis acessos indevidos ao ambiente ou campanhas de ataque contra a BMW a partir dos dados expostos.
O relatório do Cybernews também não menciona contato com a marca ou possíveis soluções para o problema.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...