I ricercatori del portale Cybernews hanno scoperto che BMW ha inavvertitamente esposto informazioni sensibili gestite dalla sua divisione italiana. Si tratta di file contenenti informazioni sensibili che sono stati generati attraverso una piattaforma utilizzata dalla divisione italiana del colosso dell’automobile.
La piattaforma utilizzata da BMW Italia è Laravel, un framework PHP open-source gratuito utilizzato per lo sviluppo di applicazioni web.
Indice degli argomenti
Cosa sappiamo dei dati esposti da BMW Italia
Nel 2017 è stata scoperta una vulnerabilità nel framework Laravel: si tratta di una falla che consente a un attaccante di ottenere informazioni sensibili, incluse le password di accesso. Non si esclude che l’azienda automobilistica possa aver utilizzato una versione di Laravel vulnerabile o che la stessa piattaforma sia stata configurata erroneamente da qualcuno che utilizzava una versione aggiornata.
La preoccupante scoperta è stata fatta a febbraio di quest’anno quando i ricercatori hanno notato la presenza di un ambiente non protetto (.env) e dei file di configurazione .git sul sito ufficiale di BMW Italia. Si tratta di file di configurazione relativi ad ambienti di sviluppo e produzione utilizzati dall’azienda e che per questo motivo contengono anche credenziali di accesso agli stessi.
Questi ambienti contengono informazioni confidenziali relative ai progetti dell’azienda e i dati dei suoi clienti che potrebbero essere utilizzati dagli attaccanti in successive offensive.
In maniera analoga, file di configurazione .git potrebbero consentire a un attaccante di accedere al codice sorgente dei progetti software dell’azienda. L’accesso al software di un’azienda consente a un attaccante di analizzarlo e potenzialmente di scoprire vulnerabilità sfruttabili in successivi attacchi.
“La scoperta dimostra che anche marchi noti e affidabili possono avere utilizzare configurazioni insicure che possono consentire agli attaccanti di violare i loro sistemi per rubare informazioni sui clienti o effettuare movimenti laterali per compromettere altri sistemi presenti nella loro rete.” recita il post di Cybernews.
“Le informazioni dei clienti provenienti da tali fonti sono particolarmente preziose per i criminali informatici, dato che i clienti dei marchi di auto di lusso hanno spesso maggiori disponibilità finanziarie e quindi possono essere un obiettivo privilegiato di attacchi”.
Dati esposti online da BMW Italia: quali rischi
BMW Italia gestisce un gran numero di informazioni dei suoi clienti, inclusi nomi e cognomi, indirizzi, numeri di telefono, indirizzi e-mail, oltre ovviamente ai dettagli dei contratti di acquisto e noleggio delle sue vetture.
Queste informazioni possono essere utilizzate in campagne di phishing mirato (spear phishing) e un’ampia gamma di attacchi.
“BMW conosce le informazioni tecniche sul tuo veicolo e la posizione del tuo telefono se ha installato app connesse BMW o Mini. Queste informazioni potrebbero anche consentire il furto del tuo veicolo, poiché l’attaccante potrebbe capire se ti trovi all’interno della tua auto o lontano da essa” conclude il post.
“Poiché i dati sono stati messi in sicurezza dall’azienda automobilistica, non c’è motivo di preoccuparsi. Tuttavia, ti consigliamo di rimanere sempre vigile, esaminando con cautela eventuali e-mail sospette e monitorando le tue informazioni bancarie”.
Serve consapevolezza cyber anche nell’automotive
È doverosa un’ultima riflessione sull’accaduto: l’aumentata componente tecnologica nelle nostre vetture rende i proprietari e gli stessi produttori sempre più esposti ad attacchi informatici.
Negli ultimi anni numerosi gruppi di ricerca hanno dimostrato vulnerabilità nei sistemi presenti nei nostri veicoli, falle sfruttabili per prenderne il controllo o per acquisire informazioni sensibili sui proprietari.
Al contempo, sono in preoccupante aumento crimini che sfruttano la componente tecnologica dei moderni veicoli per furti d’auto.
Ecco perché, anche nel settore automotive, diventa sempre più importante lavorare affinché si crei una corretta consapevolezza cyber, formando adeguatamente tutti gli utenti aziendali sulle minacce informatiche e sui rischi a cui si è esposti.
