Wie Tech erfahren hat, hat ein falsch konfigurierter Cloud-Speicherserver des Automobilgiganten BMW vertrauliche Unternehmensinformationen offengelegt, darunter private Schlüssel und interne Daten.
Can Yoleri, ein Sicherheitsforscher beim Threat-Intelligence-Unternehmen SOCRadar, sagte gegenüber Tech, dass er den exponierten BMW-Cloud-Speicherserver entdeckt habe, als er das Internet routinemäßig scannte.
Yoleri sagte, der exponierte, von Microsoft Azure gehostete Speicherserver – auch als „Bucket“ bekannt – in der Entwicklungsumgebung von BMW sei „aufgrund einer Fehlkonfiguration versehentlich als öffentlich statt als privat konfiguriert“ worden.
Yoleri fügte hinzu, dass der Speicher-Bucket „Skriptdateien enthielt, die Informationen zum Azure-Container-Zugriff, geheime Schlüssel für den Zugriff auf private Bucket-Adressen und Details zu anderen Cloud-Diensten enthalten“.
Mit Tech geteilte Screenshots zeigen, dass die offengelegten Daten private Schlüssel für die Cloud-Dienste von BMW in China, Europa und den Vereinigten Staaten sowie Anmeldeinformationen für die Produktions- und Entwicklungsdatenbanken von BMW enthielten.
Es ist nicht genau bekannt, wie viele Daten offengelegt wurden oder wie lange der Cloud-Bucket dem Internet ausgesetzt war. „Leider ist dies das größte Unbekannte bei öffentlichen Bucket-Problemen“, sagte Yoleri gegenüber Tech. „Nur der Eimerbesitzer kann sehen, wie lange er tatsächlich geöffnet ist.“
Als er per E-Mail kontaktiert wurde, bestätigte BMW-Sprecher Chris Overall gegenüber Tech, dass die Datenoffenlegung einen Microsoft Azure-Bucket betraf, der in einer Speicherentwicklungsumgebung basiert, und sagte, dass dadurch keine Kunden- oder persönlichen Daten betroffen seien.
Der Sprecher fügte hinzu: „Die BMW Group konnte dieses Problem Anfang 2024 beheben und wir beobachten die Situation weiterhin gemeinsam mit unseren Partnern.“
BMW wollte nicht sagen, wie lange der Speicher-Bucket offengelegt war oder ob ein böswilliger Zugriff auf die offengelegten Daten beobachtet wurde. Yoleri sagte, dass er zwar keine Beweise für einen böswilligen Zugriff habe, „das aber nicht bedeutet, dass es ihn nicht gibt.“
Yoleri sagte gegenüber Tech, dass BMW den Bucket zwar privat gemacht habe, nachdem er seine Ergebnisse dem Unternehmen mitgeteilt hatte, das Unternehmen jedoch die im offengelegten Cloud-Bucket gefundenen Sätze von Passwörtern und Anmeldeinformationen nicht widerrufen oder geändert habe.
„Selbst wenn der Bucket privat gemacht wurde, war es notwendig, diese Zugriffsschlüssel zu ändern. Es spielt keine Rolle mehr, ob der Eimer privat ist“, sagte Yoleri. Er fügte hinzu, dass er versucht habe, BMW wegen dieser späteren Angelegenheit zu kontaktieren, aber keine Antwort erhalten habe.
Letzten Monat bestätigte Mercedes-Benz, dass es versehentlich einen Schatz an internen Daten offengelegt hatte, nachdem es einen privaten Schlüssel online hinterlassen hatte, der „uneingeschränkten Zugriff“ auf seinen Quellcode ermöglichte. Nachdem Tech Mercedes das Sicherheitsproblem offengelegt hatte, sagte der Autobauer, er habe „das entsprechende API-Token widerrufen und das öffentliche Repository sofort entfernt“.