BMW Kun Exclusive și-a expus sistemele la riscuri prin lăsarea unui fișier de configurare (.env) accesibil publicului. Documentul conținea acreditări şi date de autentificare pentru diverse conturi de afaceri din India, inclusiv pentru alte 19 filiale BMW din India, precum şi conturi de logare pentru platforma de trimitere a mesajelor de tip SMS legate de marketing, token-uri și chei API care oferă acces la sistemele interne și la propriul lor cont WhatsApp.
Neglijenţa în privinţa securităţii cibernetice, un factor prin care companiile pot fi puse în pericol
Ce s-a întâmplat în urma scurgerii de date cauzate de dealerul BMW India. Expunerea unui fișier de tip .env reprezintă un risc semnificativ, deoarece fișierul stochează date sensibile pentru diverse conturi ale filialelor atât din India, cât și din toată reţeaua BMW, cum ar fi:
- Date de autentificare pentru diverse conturi de afaceri pentru sucursalele din India, dar și din alte țări. Aceste informații puteau oferi acces neautorizat la sistemele și bazele de date ale dealerilor BMW, inclusiv informații despre clienți, vânzări și date financiare.
- Înregistrări pentru platforma de trimitere a mesajelor SMS: Scurgerea de date include și înregistrări pentru platforma de trimitere a mesajelor de tip SMS referitoare la departamentul de marketing. Astfel, înregistrările puteau oferi acces la numele de utilizator, ID-ul entității și parola pentru platforma respectivă.
- Token-uri și chei API care oferă acces la sistemele interne ale dealerului BMW India și la propriul lor cont WhatsApp. Expunerea acestor chei poate permite hackerilor să aibă acces la date de utilizator confidențiale.
Astfel de informații expuse în spaţiul public pot fi utilizate mai ales în scopuri frauduloase ( furt de identitate,smiching – atacuri prin mesaje SMS sau vânzarea anumitor informaţii confidenţiale pe dark web).
Cheile API expuse atacului cibernetic
Fișierul care a fost expus a inclus, de asemenea, chei API, nume de utilizator, hash-uri, token-uri și semnături. Preocuparea primară și imediată este că atacatorii ar fi putut să obțină potențial acces la sisteme, servicii sau date protejate de cheia API. Cea mai sensibilă este endpoint-ul Oauth token, care ar putea oferi acces la toate API-urile de producție ale BMW Kun Exclusive – dealerul din India.
Lista de API-uri expuse:
1. Event API: permite comunicarea și partajarea informațiilor între programe sau servicii software.
2. Testdrive System API: utilizat pentru interacțiunea cu clienții și gestionarea sistemului de testare a vehiculelor.
3. Request Callback API: permite părților terțe să se conecteze la sistem sau serviciu solicitând o întoarcere a apelului.
4. BMW Kun Exclusive Whatsapp Support API: utilizat pentru facilitarea comunicării între afaceri și clienții lor pe platforma de mesagerie.
5. Oauth Token Endpoint: punctul final pentru obținerea token-urilor de autentificare.
Expunerea cheilor API, în special atunci când acestea oferă acces la date de utilizator confidențiale sau sensibile, poate duce la încălcări ale securității datelor.
Riscuri majore generate de Expunerea Cheilor API
Scurgerea API-ului sistemului de testare a vehiculelor poate duce la încălcări ale datelor care dezvăluie informații sensibile precum datele de contact ale clienților care s-au înscris pentru testele de conducere cu BMW Kun Exclusive. Infractorii cibernetici ar putea utiliza API-ul pentru a obține mai multe informații personale și a efectua furt de identitate și alte acte frauduloase.
Scurgerea API-ului Whatsapp prezintă riscul ca actorii amenințători să aibă acces la sistemul de suport Whatsapp, conducând la încălcări de date și utilizare improprie a canalului oficial de comunicare al companiei.
Expunerea API-ului Request Callback ridică îngrijorarea că datele sensibile ar putea fi expuse. Acest lucru este în mod deosebit alarmant deoarece există o probabilitate mare ca API-ul expus să ofere acces la datele personale ale clienților, furnizate inițial către Kun Exclusive BMW în scopuri de contact.
Securizarea insuficientă a API-urilor le expune la manipularea datelor. Cheile expuse permit de obicei atacatorilor să fure, să modifice sau să șteargă date, generând riscuri semnificative de securitate. Expunerea semnăturilor API poate avea consecințe asupra autenticității și integrității cererilor trimise către un API, deoarece aceste semnături servesc adesea ca mijloc de verificare.
Riscul suplimentar al expunerii cheilor API și a secretelor constă în posibilitatea ca atacatorii să le exploateze pentru a perturba serviciile dealerului BMW, utilizând tactici precum supraîncărcarea serverelor cu cereri (atacuri DDoS) sau modificarea neautorizată a configurațiilor.
Practici recomandate pentru îmbunătățirea securității în cazul dealerului BMW India
Pentru a reduce riscurile, BMW Kun Exclusive ar trebui să ia în considerare implementarea următoarelor practici recomandate:
- Investigarea regulată a jurnalelor de acces: Pentru a identifica dacă vreun hacker a avut acces la informațiile sensibile expuse.
- Implementarea autentificării multifactor (MFA): Pentru îmbunătățirea securității conturilor prin adăugarea unei măsuri suplimentare de verificare.
- Implementarea unor politici stricte privind parolele: Incluzând utilizarea de parole complexe și unice pentru sporirea securității.
- Utilizarea criptării și controlul accesului, pentru a păstra în siguranță cheile API, prevenind accesul neautorizat.
- Verificarea utilizării API-ului pentru neregularități, pentru a identifica activități suspecte și a preveni potențialele amenințări la adresa securității.
Adoptarea acestor practici recomandate ar contribui la consolidarea securității dealerului BMW India și la prevenirea unor posibile consecințe negative, cum ar fi pierderi financiare sau deteriorarea reputației. Episodul expus cu un dealer al BMW sub amenințarea preluării cibernetice subliniază pericolele neglijării securității online.