BMW: falha em servidor poderia levar a ataques contra site e clientes

Uma abertura em servidores pertencentes à montadora BMW poderia resultar em ataques contra os serviços da empresa e seus clientes. A infraestrutura desprotegida era parte das operações italianas da companhia e trazia ambientes e arquivos com dados de configuração que, caso fossem explorados de forma maliciosa, possibilitariam intrusões aos sistemas internos e roubo de dados hospedados.

• Como funcionam segurança e usabilidade no desenvolvimento remoto de software?
• Dicas básicas para a proteção de dados durante o desenvolvimento de softwares

A descoberta foi feita pelos pesquisadores em segurança digital da Cybernews, que localizaram a infraestrutura mal-configurada pertencente à companhia. Dentro dela, estavam arquivos nos formatos ENV e GIT, usados para a configuração de ambientes de desenvolvimento para o próprio website da BMW, além de outras plataformas digitais. Tais informações não devem estar disponíveis ao público, pois podem conter segredos que comprometem a segurança.

De acordo com os especialistas, a obtenção destes dados por criminosos poderia levar a uma análise minuciosa da estrutura usada pela BMW, revelando possíveis vulnerabilidades e pontos de entrada. Para piorar as coisas, as informações sensíveis teriam sido geradas pelo Laravel, um framework de código aberto que é usado pela fabricante no desenvolvimento de suas aplicações web; caso não esteja atualizado, ele pode ser suscetível a brechas conhecidas desde 2017, possibilitando a obtenção de dados sigilosos.

O problema se torna mais grave, segundo o Cybernews, quando se leva em conta a tecnologia embarcada nos veículos da BMW, com informações pessoais dos condutores que podem ser armazenadas em servidores que poderiam ser acessados a partir de uma cadeia de comprometimento desse tipo. Piora as coisas, ainda, a ideia de os carros serem de alto padrão, o que dá ainda mais valor aos dados pessoais possivelmente obtidos a partir de explorações desse tipo.

Trata-se, também, de uma vulnerabilidade comum, com a empresa de cibersegurança citando uma pesquisa própria pela qual mais de 1,9 milhões de arquivos de configuração foram encontrados em servidores desprotegidos. O Brasil, inclusive, apareceu com destaque nesse levantamento; em um universo no qual 2% de todas as infraestruturas globais expõem diretórios desse tipo, nosso país é o nono maior, com 53,4 mil detecções.

Como recomendação de segurança, não apenas à BMW mas outras empresas envolvidas em risco desse tipo, está a reinicialização de tokens do GitHub e dos demais ambientes de desenvolvimento, além de credenciais de acesso a bancos de dados. Além disso, servidores públicos devem ter as portas de acesso limitadas e monitoradas para detectar intrusões, enquanto segredos, chaves de criptografia e demais dados desse tipo devem ser mantidos em infraestruturas protegidas.

Enquanto isso, não existem informações sobre eventuais acessos indevidos ao ambiente ou campanhas de ataque contra a BMW a partir dos dados expostos. O relatório do Cybernews também não fala em contato com a marca ou possíveis soluções para o problema.

Fonte: Cybernews