網(wǎng)絡(luò)安全本質(zhì)中,人為因素是最值得注意的一點(diǎn)。
【資料圖】
不久前,據(jù)路透社報(bào)道,豐田的 T-Connect 服務(wù)中的約 296,019 條客戶信息可能遭到了泄露,引發(fā)了不少車主的恐慌。對(duì)此,豐田最新發(fā)公告證實(shí)了這一事件的真實(shí)性,并表示「對(duì)于給您帶來的不便和擔(dān)憂,我們深感歉意」,而泄露的來源或許與第三方外包公司有關(guān)。
源碼被發(fā)布到了 GitHub
首先值得注意的是,豐田 T-Connect 是這家汽車制造商的官方連接應(yīng)用程序,它的主要功能是可以讓豐田汽車車主將自己的智能手機(jī)與車輛的信息娛樂系統(tǒng)連接,可以共享電話、音樂、導(dǎo)航、通知、駕駛數(shù)據(jù)、發(fā)送機(jī)狀態(tài)和油耗等功能。
2022 年 9 月 15 日,豐田發(fā)現(xiàn) T-Connect 用戶站點(diǎn)的某些源代碼在 GitHub 平臺(tái)發(fā)布,這些源代碼包含了對(duì)數(shù)據(jù)服務(wù)器的訪問密鑰,而這些密鑰用于訪問存儲(chǔ)在數(shù)據(jù)服務(wù)器上的電子郵件地址和客戶管理號(hào)碼。
這使得未經(jīng)授權(quán)的第三方可以在 2017 年 12 月至 2022 年 9 月 15 日期間訪問 296,019 名的客戶的詳細(xì)信息。
不過,就在這一天,豐田緊急對(duì) GitHub 存儲(chǔ)庫(kù)的訪問設(shè)置限制,并在 9 月 17 日對(duì)數(shù)據(jù)服務(wù)器訪問密鑰進(jìn)行了更改,清除了未經(jīng)授權(quán)的第三方的所有潛在訪問。
這一次外包不是“背鍋俠”
在發(fā)現(xiàn)泄露事件的同時(shí),豐田公司也即刻做出了排查,發(fā)現(xiàn)在 2017 年 12 月,T-Connect 網(wǎng)站開發(fā)外包公司違反處理規(guī)則,錯(cuò)誤地將部分源代碼上傳到 GitHub 上,但是直到 2022 年 9 月 15 日才發(fā)現(xiàn)。
這也意味著,用戶信息在這五年間都有外泄的風(fēng)險(xiǎn)。為此,豐田解釋,客戶姓名、信用卡數(shù)據(jù)和電話號(hào)碼等信息未受到泄露,因?yàn)樗鼈儧]有存儲(chǔ)在公開的數(shù)據(jù)庫(kù)中,不過“由于開發(fā)外包公司對(duì)源代碼的處理不當(dāng),我們將與外包公司一起努力加強(qiáng)對(duì)客戶個(gè)人信息處理的管理,并加強(qiáng)其安全功能?!?/p>
不過,雖然數(shù)據(jù)沒有被盜用的跡象,豐田也提醒道,無法完全排除有人訪問和竊取數(shù)據(jù)的可能性。
其說道,“安全專家的調(diào)查表明,盡管我們無法根據(jù)存儲(chǔ)客戶電子郵件地址和客戶管理號(hào)碼的數(shù)據(jù)服務(wù)器的訪問歷史記錄來確認(rèn)第三方的訪問,但同時(shí),我們不能完全否認(rèn)它(會(huì)被第三方盜用的可能性)?!?/p>
因此,對(duì)于可能泄露了電子郵件地址和客戶管理號(hào)碼的客戶,豐田公司稱,分別向注冊(cè)的電子郵件地址發(fā)送道歉信和通知。
人為因素是最大的變數(shù)
值得慶幸的是,存儲(chǔ)在服務(wù)器上的客戶管理號(hào)碼對(duì)第三方來說用處并不大,但是也會(huì)有不法分子會(huì)通過郵件等形式以豐田公司的名義發(fā)送一些釣魚網(wǎng)站。為此,豐田公司表示,提供了一個(gè)專用表單(https://www.toyota.co.jp/cmpnform/pub/co/contact-tconnect)并建立了專門的呼叫中心,以回答客戶的問題和疑慮。同時(shí),其建議所有在 2017 年 7 月至 2022 年 9 月之間注冊(cè)的 T-Connect 用戶保持警惕,并避免打開來自聲稱是豐田的未知發(fā)件人的電子郵件及附件。
與此同時(shí),據(jù)《每日經(jīng)濟(jì)新聞》報(bào)道,豐田中國(guó)相關(guān)負(fù)責(zé)人回應(yīng)道,這個(gè)情況是在日本發(fā)生的,不涉及中國(guó)用戶,主要是使用 T-connect 服務(wù)的客戶的郵箱地址和內(nèi)部管理的號(hào)碼有被竊取的可能,別的信息都不受影響。
至此,雖然“暴露”在外長(zhǎng)達(dá)五年的漏洞僥幸沒有造成太大的影響,但這類屢見不鮮的事件也時(shí)刻警醒著處于信息化時(shí)代下的各家公司。
據(jù)外媒 BleepingComputer 報(bào)道,在今年 9 月,賽門鐵克的安全分析師曾公布,近 2000 個(gè) iOS 和 Android 應(yīng)用程序在其代碼中包含硬編碼的 AWS 憑證。造成這種情況的,往往是開發(fā)者的疏忽大意,他會(huì)經(jīng)常在代碼中存儲(chǔ)憑證,以便在測(cè)試多個(gè)應(yīng)用迭代中快速且輕松地獲取資產(chǎn)、訪問服務(wù)和更新配置。
按理來說,當(dāng)軟件準(zhǔn)備好進(jìn)行實(shí)際部署時(shí),這些憑證應(yīng)該被刪除的,但是很多開發(fā)者總是會(huì)忽略,從而造成數(shù)據(jù)泄露。
另一邊,為了減少漏洞的出現(xiàn),全球最大的代碼托管平臺(tái) GitHub 也在近年間致力于改進(jìn)這一方面。去年 6 月,GitHub 宣布其將自動(dòng)掃描公開 PyPI 和 RubyGems 機(jī)密的存儲(chǔ)庫(kù),如憑據(jù)和 API 令牌。簡(jiǎn)單來看,當(dāng) GitHub 發(fā)現(xiàn)密碼、API 令牌、私有 SSH 密鑰或公共存儲(chǔ)庫(kù)中公開的其他受支持的機(jī)密時(shí),它會(huì)通知注冊(cè)表維護(hù)者。在今年,GitHub 還推出了一項(xiàng)由機(jī)器學(xué)習(xí)驅(qū)動(dòng)的新代碼掃描分析功能,該代碼掃描功能可以針對(duì)站點(diǎn)腳本 (XSS)、路徑注入、NoSQL 注入和 SQL 注入四種常見漏洞模式顯示警報(bào)。
不過,歸根究底,開發(fā)者在自身開發(fā)的時(shí)候需要具備足夠強(qiáng)的技術(shù)能力同時(shí),也需要有強(qiáng)烈的網(wǎng)絡(luò)、系統(tǒng)等安全意識(shí)。
參考鏈接:
https://global.toyota/jp/newsroom/corporate/38095972.html
https://www.bleepingcomputer.com/news/security/toyota-discloses-data-leak-after-access-key-exposed-on-github/
- 當(dāng)前快訊:源碼被外包誤上傳到 GitHub,豐田近 30 萬數(shù)據(jù)遭泄露?
- 熱資訊!湘窖酒業(yè)2萬噸醬酒擴(kuò)建項(xiàng)目一期投產(chǎn)
- 環(huán)球即時(shí):ST摩登1920萬股股票將于11月重新進(jìn)行司法拍賣
- 熱議:央行:9月末社會(huì)融資規(guī)模存量為340.65萬億元 同比增長(zhǎng)10.6%
- 全球觀察:國(guó)海證券給予三七互娛買入評(píng)級(jí) 2022年三季度業(yè)績(jī)預(yù)告點(diǎn)評(píng):2022Q3業(yè)績(jī)承壓系短期投放影響 關(guān)注Q4新游上線進(jìn)展
- 全球視訊!釩鈦股份:擬設(shè)合資公司 在2022年內(nèi)建設(shè)電解液產(chǎn)線
- 強(qiáng)勢(shì)劇透 | 2022首屆南昌鹿鼎茶文化云博會(huì)搶“鮮”看
- 通訊!“火焰藍(lán)”沙場(chǎng)秋比武 看今朝誰是英雄?
- 新動(dòng)態(tài):幼鯨擱淺海灘 警民聯(lián)手救助
- 全球熱推薦:新疆棉花迎采收季 機(jī)械采摘“一條龍”完成
- 熱資訊!新疆和田4萬畝石榴熟了 小石榴變身農(nóng)民“搖錢樹”
- 全球速看:紅土地上振興路:贛北百萬元集體經(jīng)濟(jì)“示范村”煉成記
- 全球熱頭條丨新開源:預(yù)計(jì)2022年前三季度凈利潤(rùn)為2.65億元~2.85億元 同比增長(zhǎng)164.81%~184.79%
- 天天微頭條丨雅居樂集團(tuán)前9個(gè)月銷售額530億元 銷售面積417萬平方米
- 天天速讀:兩市99只個(gè)股現(xiàn)174宗大宗交易 天味食品、中際旭創(chuàng)、伊利股份成交額居前
- 精選!望變電氣前三季凈利潤(rùn)預(yù)增57.87%-75.01%
- 環(huán)球視訊!瑜伽褲野性帶貨成風(fēng),“能塞下三室一廳!”
- 【環(huán)球聚看點(diǎn)】反逆者V社:輕視手游,押注VR頭顯,出擊掌機(jī)
- 天天最新:特斯拉與“蔚小理”能圍剿BBA?新能源車逆襲巨頭的時(shí)代來了?
- 每日動(dòng)態(tài)!金山軟件,老無所倚
- 天津市河?xùn)|區(qū)開展校園食品安全檢查 切實(shí)做好中小
- 安徽滁州“你點(diǎn)我察”消費(fèi)體察進(jìn)裝修行業(yè) 有力維
- 黑龍江深入排查工業(yè)產(chǎn)品質(zhì)量安全風(fēng)險(xiǎn) 增強(qiáng)企業(yè)產(chǎn)
- 黑龍江省消協(xié)組織消費(fèi)體察走進(jìn)有機(jī)農(nóng)場(chǎng) 讓消費(fèi)者
- 云南12部門聯(lián)合整治媒體虛假?gòu)V告 營(yíng)造讓群眾放心
- 一季度河北省各級(jí)消保委為消費(fèi)者挽回經(jīng)濟(jì)損失214萬
- 北京抽檢月餅全部合格 涉及全國(guó)各地61家食品生產(chǎn)
- 富陽電動(dòng)自行車監(jiān)管實(shí)現(xiàn)“雙百” 電動(dòng)自行車全鏈條
- 淮北黨建促融合引導(dǎo)外賣送餐行業(yè)發(fā)展 壓實(shí)網(wǎng)絡(luò)餐
- 安徽聯(lián)合整治網(wǎng)絡(luò)市場(chǎng)突出問題 規(guī)范競(jìng)爭(zhēng)秩序
- 1 當(dāng)前快訊:源碼被外包誤上傳到 GitHub,豐田近 30
- 2 熱資訊!湘窖酒業(yè)2萬噸醬酒擴(kuò)建項(xiàng)目一期投產(chǎn)
- 3 環(huán)球即時(shí):ST摩登1920萬股股票將于11月重新進(jìn)行司法
- 4 熱議:央行:9月末社會(huì)融資規(guī)模存量為340.65萬億元
- 5 全球觀察:國(guó)海證券給予三七互娛買入評(píng)級(jí) 2022年三
- 6 全球視訊!釩鈦股份:擬設(shè)合資公司 在2022年內(nèi)建設(shè)
- 7 強(qiáng)勢(shì)劇透 | 2022首屆南昌鹿鼎茶文化云博會(huì)搶“鮮”看
- 8 通訊!“火焰藍(lán)”沙場(chǎng)秋比武 看今朝誰是英雄?
- 9 新動(dòng)態(tài):幼鯨擱淺海灘 警民聯(lián)手救助
- 10 全球熱推薦:新疆棉花迎采收季 機(jī)械采摘“一條龍”