Ошибка безопасности BMW привела к раскрытию конфиденциальной информации компании, обнаружил исследователь

Как стало известно >, неправильно настроенный сервер облачного хранилища, принадлежащий автомобильному гиганту BMW, раскрыл конфиденциальную информацию компании, включая закрытые ключи и внутренние данные.

Джан Йолери, исследователь безопасности из компании SOCRadar, занимающейся разведкой угроз, рассказал >, что он обнаружил открытый сервер облачного хранилища BMW во время регулярного сканирования Интернета.

Йолери сказал, что открытый сервер хранения данных, размещенный в Microsoft Azure, также известный как «корзина», в среде разработки BMW «был случайно настроен как общедоступный, а не частный из-за неправильной конфигурации».

Йолери добавил, что сегмент хранилища содержит «файлы сценариев, которые включают информацию о доступе к контейнеру Azure, секретные ключи для доступа к частным адресам сегмента и сведения о других облачных сервисах».

Снимки экрана, предоставленные >, показывают, что раскрытые данные включали закрытые ключи для облачных сервисов BMW в Китае, Европе и США, а также учетные данные для входа в базы данных производства и разработки BMW.

Точно неизвестно, какой объем данных был раскрыт и как долго облачный сегмент был доступен в Интернете. «К сожалению, это самое большое неизвестное в проблемах публичного корзины», — сказал Йолери >. «Только владелец ведра может видеть, как долго оно на самом деле было открыто».

По электронной почте представитель BMW Крис Овервер подтвердил >, что раскрытие данных затронуло корзину Microsoft Azure, расположенную в среде разработки хранилища, и заявил, что в результате никакие клиентские или личные данные не пострадали.

Представитель добавил, что «BMW Group смогла решить эту проблему в начале 2024 года, и мы продолжаем следить за ситуацией вместе с нашими партнерами».

BMW не сообщила, как долго хранилище данных было раскрыто и наблюдался ли какой-либо злонамеренный доступ к раскрытым данным. Йолери сказал, что, хотя у него нет никаких доказательств злонамеренного доступа, «это не значит, что его не существует».

Йолери рассказал >, что, хотя BMW сделала корзину конфиденциальной после того, как он сообщил компании о своих выводах, компания не отозвала и не изменила наборы паролей и учетных данных, найденных в открытой облачной корзине.

«Даже если ведро было сделано приватным, необходимо было изменить эти ключи доступа. Не имеет значения, является ли ведро частным», — сказал Йолери. Он добавил, что пытался связаться с BMW по поводу этой последующей проблемы, но не получил ответа.

Прошлый месяц, Mercedes-Benz подтвердил, что случайно раскрыл множество внутренних данных после того, как оставил в сети закрытый ключ, который обеспечивал «неограниченный доступ» к его исходному коду. После того, как > сообщил Mercedes о проблеме безопасности, автопроизводитель заявил, что «отменил соответствующий токен API и немедленно удалил общедоступный репозиторий».