CyberNewsは3月10日(現地時間)、「BMW exposes clients in Italy」において、BMWイタリアのWebサイトから企業秘密や顧客報といった機密データが流出する危険性があると警告した。CyberNewsの研究者が2023年2月にBMWイタリアのWebサイト上の公開エリアで、本来は公開するべきではない設定ファイルを複数発見したという。サイバー攻撃者は、これらの設定ファイルからWebサイトのソースコードなどを解析し、顧客情報などへのアクセスするための足掛かりにする可能性がある。
CyberNewsの研究者がBMWイタリアの公式Webサイトで発見したのは、環境変数の設定情報を保持する.envファイルと、Gitリポジトリの情報を保持する.git構成ファイル。.envファイルは本来はローカルに保存することを前提としており、そこには運用環境と開発環境のデータが含まれていたという。この情報はWebサイトの侵害に悪用するには不十分であるものの、研究者は、攻撃者がシステムに関する詳細な情報を収集するのに役立つ可能性があると指摘している。
.git構成ファイルにはWebサイトのソースコードの.gitリポジトリが含まれていた。これは、悪用可能な脆弱性が含まれていないかを探るのに十分な情報を提供する。例えば、もしWebサイトが何らかの脆弱性を含むバージョンのフレームワークに依存していた場合、構成情報と組み合わせることによって、サーバを不正に操作したり、機密情報を格納したデータベースに不正にアクセスしありするための手段を発見できるかもしれない。
CyberNewsの研究者は、BMWイタリアが取るべき対策として、GitLab CIトークンのリセットや、MySQLおよびPostgreSQLデータベースの資格情報のリセット、管理ポータルが使用するポートの変更などを提案している。またユーザーに対しては、不審なメールを慎重に確認することや、銀行の口座情報を確認するなど、常に警戒を怠らないことを推奨している。