Cybernews 研究團隊發現，法國高科技工業集團 Exail 暴露了一個帶有數據庫憑證的可公開訪問的環境 (.env) 文件。

Exail于 2022 年由 ECA Group 和 iXblue 合并后成立，專注于機器人、海事、導航、航空航天和光子技術，其客戶包括美國海岸警衛隊。由于這些特性，Exail成為攻擊者特別感興趣的目標。

研究團隊發現，托管在 exail.com 網站上可公開訪問的 .env 文件已暴露在互聯網上，導致任何人都可以對其進行訪問。環境文件充當計算機程序的一組指令，因此，文件的完全開放可能會暴露關鍵數據，一旦攻擊者訪問，便可以查看、修改或刪除敏感數據并執行未經授權的操作，并為攻擊者者提供一系列攻擊選項。

研究團隊還發現，Exail 的網絡服務器版本和特定操作系統也受到了威脅。如果攻擊者知道網絡服務器上運行的操作系統及其版本，就可以針對性地利用與操作系統相關的特定漏洞。

而具有已知特定操作系統暴露的 Web 服務器可能成為自動掃描工具、惡意軟件和僵尸網絡的目標。一旦攻擊者了解了操作系統的特性，就可以集中精力尋找和利用與該操作系統相關的漏洞。他們可以采用掃描、證明或使用已知漏洞等技術來訪問服務器或損害其安全性。

此外，攻擊者還可以利用操作系統特定的弱點對暴露的 Web 服務器發起拒絕服務 (DoS) 攻擊，從而中斷服務器的運行。

Cybernews研究團隊向Exail進行反饋后，對方已經修復了該問題，但并未透露有關問題更加詳細的信息。