BMW: falha em servidor pode levar a ataques contra o site e clientes
13 de Março de 2023

Uma brecha nos servidores pertencentes à fabricante de automóveis BMW poderia resultar em ataques aos serviços da empresa e seus clientes.

A infraestrutura desprotegida fazia parte das operações italianas da empresa e continha ambientes e arquivos com dados de configuração que, se explorados de maneira maliciosa, poderiam permitir intrusões nos sistemas internos e roubo de dados hospedados.

A descoberta foi feita pelos pesquisadores em segurança digital da Cybernews, que encontraram a infraestrutura mal configurada da empresa.

Dentro dela, havia arquivos nos formatos ENV e GIT, usados ​​para configurar ambientes de desenvolvimento para o próprio site da BMW, além de outras plataformas digitais.

Essas informações não devem estar disponíveis ao público, pois podem conter segredos que comprometem a segurança.

De acordo com especialistas, a obtenção desses dados por criminosos poderia levar a uma análise minuciosa da estrutura usada pela BMW, revelando possíveis vulnerabilidades e pontos de entrada.

Para piorar as coisas, as informações sensíveis teriam sido geradas pelo Laravel, um framework de código aberto usado pela empresa no desenvolvimento de suas aplicações web; caso não esteja atualizado, ele pode ser suscetível a brechas conhecidas desde 2017, possibilitando a obtenção de dados sigilosos.

O problema se torna mais grave quando se leva em conta a tecnologia embarcada nos veículos da BMW, com informações pessoais dos condutores que podem ser armazenadas em servidores que poderiam ser acessados ​​a partir de uma cadeia de comprometimento desse tipo.

Piora as coisas, ainda, a ideia de que os carros são de alto padrão, o que dá ainda mais valor aos dados pessoais possivelmente obtidos a partir de explorações desse tipo.

Trata-se de uma vulnerabilidade comum, com a empresa de cibersegurança citando uma pesquisa própria pela qual mais de 1,9 milhões de arquivos de configuração foram encontrados em servidores desprotegidos.

O Brasil, inclusive, apareceu com destaque nesse levantamento; em um universo no qual 2% de todas as infraestruturas globais expõem diretórios desse tipo, nosso país é o nono maior, com 53,4 mil detecções.

Como recomendação de segurança, não apenas à BMW, mas a outras empresas envolvidas em risco desse tipo, está a reinicialização de tokens do GitHub e dos demais ambientes de desenvolvimento, além de credenciais de acesso a bancos de dados.

Além disso, servidores públicos devem ter as portas de acesso limitadas e monitoradas para detectar intrusões, enquanto segredos, chaves de criptografia e demais dados desse tipo devem ser mantidos em infraestruturas protegidas.

Enquanto isso, não há informações sobre possíveis acessos indevidos ao ambiente ou campanhas de ataque contra a BMW a partir dos dados expostos.

O relatório do Cybernews também não menciona contato com a marca ou possíveis soluções para o problema.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...