Под капотом безопасности: Suzuki случайно выложила чувствительные данные в сеть

Недавно исследователи портала Cybernews обнаружили, что компания Suzuki «сливает» в сеть чувствительные данные. Сайты двух авторизованных дилеров, расположенных в Бразилии и Бахрейне, оказались уязвимы к кибератакам. Непонятно, каким образом конфиденциальная информация о клиентах, пароли и секретные токены для управления бизнесом оказались в открытом доступе.

Очевидно, что приобретение машины — это сложный процесс, предполагающий кредиты, страхование, общую документацию и различные виды контрактов. Все данные остаются у дилера, включая сведения о том, что конкретный человек стал владельцем автомобиля. Этот факт сам по себе может привлечь внимание преступников. Базы дилеров, не обеспечивающие должной защиты, представляют серьезную угрозу для безопасности клиентов.

Для тех, кто может позволить себе дорогой брендовый автомобиль, угроза особенно актуальна. Информация, собранная компаниями вроде Suzuki, очень ценна на хакерских форумах. Официальные контакты покупателей и доступ к серверу SMTP (Simple Mail Transfer Protocol, простой протокол передачи почты) позволяют злоумышленникам эффективнее проводить фишинговые кампании. В случае двух дилеров Suzuki хакеры могли бы атаковать клиентов напрямую.

Учетные данные SMTP позволили бы атакующим отправлять вредоносные электронные письма пользователям suzukiveiculos.com.br и suzukibahrain.com с официальной почты Suzuki.

Suzuki Motor Corporation — десятый крупнейший автопроизводитель в мире с чистой стоимостью 17,6 млрд долларов. Бразильский дилер Suzukiveiculos.com.br принадлежит фирме Hpe Automatores Do Brasil, которая контролирует производство 120 000 автомобилей в год, в основном моделей Mitsubishi и Suzuki. Компания заявляет, что имеет более 2500 прямых и косвенных сотрудников.

На бразильском сайте были обнаружены крайне важные сведения в незащищенном виде: данные для доступа к сети доставки контента GoChache, информация базы MySQL, информация для доступа к почтовому серверу (SMTP) и секретные ключи, необходимые для работы самого веб-приложения.

Второй веб-сайт принадлежит Suzuki Bahrain, единственному дилеру Suzuki в стране. Администраторы оставили без защиты ключ приложения компании Laravel, базу и учетные данные SMTP.

Несмотря на то, что уязвимости были быстро устранены после обращения исследователей Cybernews, пользователи сайтов сейчас должны быть настороже.

«Пользователи должны отслеживать свою электронную почту и кредитную историю, чтобы убедиться, что с их данными не были созданы новые учетные записи» — советуют эксперты.

По возможности рекомендуется изменить пароли от «My Suzuki» и настроить двухфакторную аутентификацию, а также пересмотреть адреса электронной почты, телефонные и автомобильные номера.

Источник: SecurityLab