元宇宙对隐私的“嗜血”变本加厉，西门子处境极其危险

西门子 Metaverse 是一个虚拟空间，用于镜像真实的机器、工厂和其他高度复杂的系统，它暴露的敏感数据，包括公司的办公计划和物联网 (IoT) 设备。

虽然 Metaverse （即“元宇宙”）不再是流行语，但在 ChatGPT 和类似 AI 工具突然流行的情况下，这些虚拟世界仍然存在，为公司、用户以及不幸的威胁参与者提供了令人兴奋的机会。

收入超过 71 万亿美元、在全球拥有 300,000 名员工的德国跨国公司西门子也加入了元宇宙的行列。2022年，与美国跨国科技公司英伟达合作，共建工业元宇宙。

最近，Cybernews 研究团队发现西门子 Metaverse（一个旨在为其工厂和办公室创建数字“双胞胎”的平台）正在泄露敏感信息。

如果攻击者获得了暴露的数据，可能会对该公司和其他使用其服务的大公司造成毁灭性后果，包括勒索软件攻击。

另一方面，西门子表示，“该问题并不严重，并且已得到缓解。”

Metaverse 泄漏：我们发现了什么

3 月 1 日，Cybernews 研究团队发现了一个托管在 metaverse.siemens.com 域中的环境文件。它包含 ComfyApp 凭据和端点，还发现西门子在受影响系统的不同端点上泄露了四组 WordPress 用户以及三组后端和身份验证端点 URL。

WordPress 只设置了暴露的用户名和头像图片，但所有四个基于西门子 WordPress 的子域都容易受到 WordPress 本身在 2017 年修复的缺陷的影响，这让研究人员怀疑这些网站上是否存在更严重的漏洞 。

后端和身份验证端点 URL，用于在授予用户访问权限之前验证用户，可能导致攻击者测试它们的漏洞并加以利用。

最令人担忧的发现是暴露的办公管理平台 ComfyApp 用户凭据。西门子拥有的应用程序有助于工作区管理，这意味着它需要敏感数据，包括平面图、有关物联网 (IoT) 设备的信息、员工日历和室内图片。

我们无法确定单独使用 ComfyApp 凭据可以访问上述数据中的多少。

Cybernews 的研究人员说：“我们真诚地希望威胁行为者在西门子设法修复之前没有发现泄漏。鉴于西门子制造并维护着关键基础设施所使用的大量技术和机器，一旦获得访问权限，他们就可以窃取大量敏感数据。”

Cybernews 团队补充说：“西门子的客户包括数十亿美元的公司，处理极其敏感的数据，攻击者肯定会发现它非常有价值。”

极具吸引力的目标

那么，如果有人登录并偷看您的办公室计划和图片，甚至是您的日历怎么办？员工很清楚他们不应该让陌生人进入他们的办公室，那么为什么数字工作场所的规则会有所不同呢？

Cybernews 研究人员说：“在窥探数字办公室之后，攻击者可以简单地出现在实体办公室，就好像他们在那里工作了多年，了解所有空间并熟悉智能空调等办公设备。这只会让攻击者更容易闯入。”

而且他们不会只是为了偷笔而闯入。更有可能的是，他们会插入受感染的 USB 驱动器，最终甚至可能导致勒索软件。

由于 Metaverse 的构建方式使其应具有最新的工厂数据，因此攻击者甚至可以提取一些商业机密，例如制造技术。

“这里的威胁行为者有很多机会。但由于这是元宇宙技术在可能泄露敏感现实世界数据的情况下使用的首批案例之一，因此目前尚不清楚威胁参与者将采用何种方法来充分利用此类问题。”研究小组说。