近年來(lái)，車聯(lián)網(wǎng)產(chǎn)業(yè)快速發(fā)展，智能化、網(wǎng)聯(lián)化水平不斷提高。與此同時(shí)，互聯(lián)網(wǎng)安全威脅逐步向車聯(lián)網(wǎng)領(lǐng)域滲透，車聯(lián)網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和挑戰(zhàn)日益顯現(xiàn)。智能網(wǎng)聯(lián)汽車、車聯(lián)網(wǎng)平臺(tái)等網(wǎng)絡(luò)攻擊對(duì)象更為廣泛，通信劫持、漏洞利用、平臺(tái)攻擊等控制車輛網(wǎng)絡(luò)的攻擊途徑更加多樣。

沃爾沃被曝用戶私人數(shù)據(jù)泄露

據(jù)網(wǎng)絡(luò)新聞研究小組調(diào)查發(fā)現(xiàn)，巴西的沃爾沃汽車零售商Dimas Volvo在近一年時(shí)間里都在持續(xù)通過(guò)其網(wǎng)站泄露敏感文件，這些信息可能會(huì)被一些不懷好意的人拿來(lái)用于劫持官方通信渠道或者直接入侵公司的系統(tǒng)。
研究團(tuán)隊(duì)發(fā)現(xiàn)，泄露的信息不僅包括數(shù)據(jù)庫(kù)的認(rèn)證信息，還包括了MySQL和Redis數(shù)據(jù)庫(kù)主機(jī)、開(kāi)放端口和證書(shū)信息等。攻擊者只需用這些憑證就能進(jìn)一步利用數(shù)據(jù)庫(kù)的內(nèi)容，而數(shù)據(jù)庫(kù)內(nèi)很可能存儲(chǔ)了用戶的私人數(shù)據(jù)。
不僅如此，研究人員還偶然發(fā)現(xiàn)了該網(wǎng)站的Laravel應(yīng)用程序密鑰。這個(gè)密鑰一旦泄露了風(fēng)險(xiǎn)極高，因?yàn)樗赡鼙挥脕?lái)解密用戶的cookies，而這些cookies通常包含用戶的一些憑證信息或會(huì)話ID這些敏感信息，而攻擊者可以利用這些數(shù)據(jù)來(lái)劫持這些人的賬戶。
在泄露的數(shù)據(jù)中，研究人員還發(fā)現(xiàn)儲(chǔ)存網(wǎng)站源代碼的Git庫(kù)的URL，會(huì)直接透露出數(shù)據(jù)庫(kù)的名稱和創(chuàng)建者。這些攻擊者僅需一個(gè)密碼，再配合泄露的憑證信息就能強(qiáng)行訪問(wèn)數(shù)據(jù)庫(kù)，這比同時(shí)去猜測(cè)出用戶名以及密碼之后才能訪問(wèn)數(shù)據(jù)庫(kù)的方式要快得多。