Σε μια από τις πλέον ανησυχητικές κυβερνοεπιθέσεις των τελευταίων μηνών, η Europcar Mobility Group, μια από τις μεγαλύτερες πολυεθνικές εταιρείες ενοικίασης αυτοκινήτων, επιβεβαίωσε παραβίαση των GitLab repositories της, οδηγώντας σε διαρροή πηγαίου κώδικα και προσωπικών δεδομένων έως και 200.000 πελατών.
Πώς έγινε η παραβίαση και τι εκλάπη
Η κυβερνοεπίθεση αποκαλύφθηκε στα τέλη Μαρτίου 2024, όταν ένας απειλητικός παράγοντας, που χρησιμοποίησε το όνομα της εταιρείας ως ψευδώνυμο, δημοσίευσε σε πλατφόρμες διαρροής ότι είχε αποκτήσει πρόσβαση σε όλα τα repositories του GitLab της Europcar. Ανέφερε ότι είχε αποσπάσει πάνω από 9.000 SQL αρχεία backup που περιείχαν προσωπικά δεδομένα, καθώς και τουλάχιστον 269 αρχεία .ENV τα οποία περιέχουν ρυθμίσεις εφαρμογών και ευαίσθητες μεταβλητές περιβάλλοντος.
Η εγκυρότητα της παραβίασης επιβεβαιώθηκε όταν ο δράστης δημοσίευσε screenshots με credentials (ονόματα χρήστη και κωδικούς πρόσβασης) που εντοπίστηκαν στον πηγαίο κώδικα. Αν και ο ισχυρισμός ότι εκλάπη ολόκληρος ο πηγαίος κώδικας της Europcar δεν είναι απόλυτα ακριβής — ένα μικρό μέρος των αποθετηρίων φαίνεται να παρέμεινε άθικτο — το πλήγμα στην ψηφιακή ασφάλεια της εταιρείας είναι σημαντικό.
Εξαγορά, απειλές και επιπτώσεις
Ο κυβερνοεγκληματίας φέρεται να επιχείρησε εκβιασμό, απειλώντας ότι θα δημοσιεύσει 37GB δεδομένων που περιλαμβάνουν backup αρχείων και λεπτομέρειες για την cloud υποδομή της εταιρείας, καθώς και εσωτερικές εφαρμογές. Η Europcar ειδοποίησε άμεσα τις αρχές προστασίας προσωπικών δεδομένων και ξεκίνησε διαδικασία ενημέρωσης των πελατών που ενδέχεται να έχουν επηρεαστεί.
Η διαρροή περιορίστηκε σε ονόματα και διευθύνσεις email χρηστών των θυγατρικών Goldcar και Ubeeqo, με χρονική προέλευση κάποιων δεδομένων από το 2017 έως το 2020. Δεν υπήρξε διαρροή οικονομικών στοιχείων, όπως τραπεζικοί λογαριασμοί ή στοιχεία πιστωτικών καρτών.
Πιθανή αιτία: credentials από infostealer
Αν και η ακριβής μέθοδος πρόσβασης στα GitLab repositories δεν έχει επιβεβαιωθεί, εικάζεται πως σχετίζεται με κλεμμένα credentials από infostealer malware. Η συγκεκριμένη τεχνική βρίσκεται πίσω από αρκετές πρόσφατες επιθέσεις σε εταιρείες τεχνολογίας, λόγω της συχνής χρήσης μη ασφαλώς αποθηκευμένων διαπιστευτηρίων σε περιβάλλον ανάπτυξης.
Αξίζει να σημειωθεί ότι το 2022 είχε εντοπιστεί token διαχειριστή στον πηγαίο κώδικα των mobile εφαρμογών της Europcar, που παρείχε πρόσβαση ακόμα και σε βιομετρικά δεδομένα πελατών. Το συγκεκριμένο σφάλμα αποδόθηκε τότε σε σφάλμα ανάπτυξης και εντοπίστηκε σε πλήθος εφαρμογών άλλων παρόχων.
Επιπλέον, το 2023, η Europcar αποτέλεσε αντικείμενο ψευδών ισχυρισμών για άλλη μαζική διαρροή, όταν άγνωστος ανέφερε σε forum ότι κατέχει προσωπικά δεδομένα 50 εκατομμυρίων πελατών — πληροφορία που αποδείχθηκε ανυπόστατη.
Ευρύτερες προεκτάσεις για τον τομέα της ασφάλειας
Το περιστατικό υπογραμμίζει για μία ακόμα φορά τους κινδύνους της ανεπαρκούς διαχείρισης credentials και της ελλιπούς ασφάλειας στα repositories ανάπτυξης λογισμικού. Η διαρροή αρχείων .ENV, που περιέχουν API keys, tokens και database credentials, είναι από τα πιο ανησυχητικά ευρήματα, καθώς μπορούν να οδηγήσουν σε αλυσιδωτές παραβιάσεις.
Η χρήση DevSecOps πρακτικών, η συστηματική παρακολούθηση credentials μέσω secret scanning εργαλείων όπως GitGuardian, και η υιοθέτηση πολιτικών ελαχιστοποίησης προσβασιμότητας είναι σήμερα επιτακτικές ανάγκες για κάθε οργανισμό που αναπτύσσει ψηφιακές υπηρεσίες.
Πηγές: BleepingComputer
