Как стало известно >, неправильно настроенный сервер облачного хранилища, принадлежащий автомобильному гиганту BMW, раскрыл конфиденциальную информацию компании, включая закрытые ключи и внутренние данные.
Джан Йолери, исследователь безопасности из компании SOCRadar, занимающейся разведкой угроз, рассказал >, что он обнаружил открытый сервер облачного хранилища BMW во время регулярного сканирования Интернета.
Йолери сказал, что открытый сервер хранения данных, размещенный в Microsoft Azure, также известный как «корзина», в среде разработки BMW «был случайно настроен как общедоступный, а не частный из-за неправильной конфигурации».
Йолери добавил, что сегмент хранилища содержит «файлы сценариев, которые включают информацию о доступе к контейнеру Azure, секретные ключи для доступа к частным адресам сегмента и сведения о других облачных сервисах».
Снимки экрана, предоставленные >, показывают, что раскрытые данные включали закрытые ключи для облачных сервисов BMW в Китае, Европе и США, а также учетные данные для входа в базы данных производства и разработки BMW.
Точно неизвестно, какой объем данных был раскрыт и как долго облачный сегмент был доступен в Интернете. «К сожалению, это самое большое неизвестное в проблемах публичного корзины», — сказал Йолери >. «Только владелец ведра может видеть, как долго оно на самом деле было открыто».
По электронной почте представитель BMW Крис Овервер подтвердил >, что раскрытие данных затронуло корзину Microsoft Azure, расположенную в среде разработки хранилища, и заявил, что в результате никакие клиентские или личные данные не пострадали.
Представитель добавил, что «BMW Group смогла решить эту проблему в начале 2024 года, и мы продолжаем следить за ситуацией вместе с нашими партнерами».
BMW не сообщила, как долго хранилище данных было раскрыто и наблюдался ли какой-либо злонамеренный доступ к раскрытым данным. Йолери сказал, что, хотя у него нет никаких доказательств злонамеренного доступа, «это не значит, что его не существует».
Йолери рассказал >, что, хотя BMW сделала корзину конфиденциальной после того, как он сообщил компании о своих выводах, компания не отозвала и не изменила наборы паролей и учетных данных, найденных в открытой облачной корзине.
«Даже если ведро было сделано приватным, необходимо было изменить эти ключи доступа. Не имеет значения, является ли ведро частным», — сказал Йолери. Он добавил, что пытался связаться с BMW по поводу этой последующей проблемы, но не получил ответа.
Прошлый месяц, Mercedes-Benz подтвердил, что случайно раскрыл множество внутренних данных после того, как оставил в сети закрытый ключ, который обеспечивал «неограниченный доступ» к его исходному коду. После того, как > сообщил Mercedes о проблеме безопасности, автопроизводитель заявил, что «отменил соответствующий токен API и немедленно удалил общедоступный репозиторий».
2024-02-14 18:00:30
1708683182
#Ошибка #безопасности #BMW #привела #раскрытию #конфиденциальной #информации #компании #обнаружил #исследователь