Notícias

Peugeot vaza acesso a informações de usuários!

Usuários da Peugeot do Peru tiveram seus dados expostos pela empresa

Jardeson Márcio
peugeot-vaza-acesso-a-informacoes-de-usuarios

A Peugeot, marca francesa de automóveis da Stellantis, expôs informações de seus usuários no Peru, país sul-americano com quase 34 milhões de habitantes. A marca acabou vazando o acesso aos dados de seus usuários.

Contents
Peugeot vaza acesso a informações dos seus usuários peruanosO que dizem os pesquisadores?

Embora o Peru não seja um mercado tão grande para a montadora, essa descoberta é mais um exemplo de como marcas grandes e conhecidas falham em proteger dados confidenciais.

Peugeot vaza acesso a informações dos seus usuários peruanos

Em 3 de fevereiro, a equipe de pesquisa da Cybernews (Via: Security Affairs) descobriu um arquivo de ambiente exposto (.env) hospedado na loja oficial da Peugeot no Peru.

O arquivo exposto continha: Banco de dados MySQL completo Uniform Resource Identifier (URI) – uma sequência única de caracteres que identifica um recurso – bem como nome de usuário e senha para acessá-lo; Senha do JSON Web Token (JWT) e localizações de chaves privadas e públicas; Um link para o repositório git do site; Segredo do aplicativo Symfony.

Combinadas, as informações vazadas podem ser usadas para comprometer o conjunto de dados e o site. A julgar por seu nome de usuário, o MySQL foi usado para armazenar informações do usuário. A empresa também vazou as credenciais necessárias para acessar o conjunto de dados. Um invasor pode usar esses dados para fazer login, exfiltrar ou modificar o conteúdo do conjunto de dados.

A senha do JWT, um padrão do setor usado para compartilhar informações entre duas entidades, era muito fraca e fácil de adivinhar. O certificado privado, usado em combinação com a senha, também foi armazenado no mesmo servidor. O segredo vazado do aplicativo Symphony pode ter sido usado para descriptografar dados criptografados anteriormente, como cookies de usuário e IDs de sessão. Se expostas, essas informações podem permitir que o agente da ameaça se faça passar por uma vítima e acesse aplicativos de forma ilegítima.

O link para o repositório git pode ser usado em ataques de engenharia social contra os desenvolvedores da plataforma para obter acesso ao repositório e, por sua vez, roubar o código-fonte do site.

O que dizem os pesquisadores?

A forma como o arquivo de ambiente foi configurado também mostra falta de expertise e compreensão de como desenvolver aplicativos com segurança. As informações do usuário de uma violação como essa são muito valiosas para agentes mal-intencionados, pois os proprietários de carros ou futuros proprietários de carros têm maior probabilidade de economizar e, portanto, são um alvo maior para agentes mal-intencionados.

pesquisadores da Cybernews
TAGGED:
Share This Article
Por Jardeson Márcio
Follow:
Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias. Acredita que seu dia pode ser salvo por um vídeo engraçado.
Previous Article VirusTotal anuncia novo recurso de análise de malware baseado em IA
Next Article Red Hat anuncia centenas de cortes de empregos
Sair da versão mobile