Peugeot vaza acesso a informações de usuários!

peugeot-vaza-acesso-a-informacoes-de-usuarios

A Peugeot, marca francesa de automóveis da Stellantis, expôs informações de seus usuários no Peru, país sul-americano com quase 34 milhões de habitantes. A marca acabou vazando o acesso aos dados de seus usuários.

Embora o Peru não seja um mercado tão grande para a montadora, essa descoberta é mais um exemplo de como marcas grandes e conhecidas falham em proteger dados confidenciais.

Peugeot vaza acesso a informações dos seus usuários peruanos

Em 3 de fevereiro, a equipe de pesquisa da Cybernews (Via: Security Affairs) descobriu um arquivo de ambiente exposto (.env) hospedado na loja oficial da Peugeot no Peru.

O arquivo exposto continha: Banco de dados MySQL completo Uniform Resource Identifier (URI) – uma sequência única de caracteres que identifica um recurso – bem como nome de usuário e senha para acessá-lo; Senha do JSON Web Token (JWT) e localizações de chaves privadas e públicas; Um link para o repositório git do site; Segredo do aplicativo Symfony.

peugeot-vaza-acesso-a-informacoes-de-usuarios

Combinadas, as informações vazadas podem ser usadas para comprometer o conjunto de dados e o site. A julgar por seu nome de usuário, o MySQL foi usado para armazenar informações do usuário. A empresa também vazou as credenciais necessárias para acessar o conjunto de dados. Um invasor pode usar esses dados para fazer login, exfiltrar ou modificar o conteúdo do conjunto de dados.

A senha do JWT, um padrão do setor usado para compartilhar informações entre duas entidades, era muito fraca e fácil de adivinhar. O certificado privado, usado em combinação com a senha, também foi armazenado no mesmo servidor. O segredo vazado do aplicativo Symphony pode ter sido usado para descriptografar dados criptografados anteriormente, como cookies de usuário e IDs de sessão. Se expostas, essas informações podem permitir que o agente da ameaça se faça passar por uma vítima e acesse aplicativos de forma ilegítima.

O link para o repositório git pode ser usado em ataques de engenharia social contra os desenvolvedores da plataforma para obter acesso ao repositório e, por sua vez, roubar o código-fonte do site.

O que dizem os pesquisadores?

A forma como o arquivo de ambiente foi configurado também mostra falta de expertise e compreensão de como desenvolver aplicativos com segurança. As informações do usuário de uma violação como essa são muito valiosas para agentes mal-intencionados, pois os proprietários de carros ou futuros proprietários de carros têm maior probabilidade de economizar e, portanto, são um alvo maior para agentes mal-intencionados.

pesquisadores da Cybernews