据Tech Crunch报道,宝马的云存储服务器发生配置错误事件,导致私钥和内部数据等敏感信息暴露。
威胁情报公司SOCradar的安全研究员Can Yoleri告诉TechCrunch,他在定期扫描互联网时发现了暴露的宝马云存储服务器。
Yoleri说,宝马开发环境中暴露的微软Azure托管存储服务器(也称为“存储桶”)“由于配置错误,意外配置为公共服务器而不是私有服务器”。
Yoleri补充说,存储桶包含“脚本文件,包括Azure容器访问信息、访问私有桶地址的密钥以及其他云服务的详细信息。”
据了解,暴露的数据包括宝马在中国、欧洲和美国云服务的私钥,以及宝马生产和开发数据库的登录凭据。
目前尚不清楚就暴露了多少数据,也不清楚云桶在互联网上暴露了多长时间。Yoleri告诉媒体称:“不幸的是,这是公共桶问题中最大的未知数。”“只有存储桶所有者才能看到它实际上已经打开了多长时间。”
当通过电子邮件联系到宝马发言人Chris Overall时,他向媒体证实,数据暴露影响了基于存储开发环境的Microsoft Azure存储桶,但其表示没有影响客户或个人数据。
发言人补充说:“宝马集团已在2024年初解决这个问题,我们将继续与合作伙伴一起监控情况。”
宝马并未说明存储桶暴露了多长时间,或者它是否观察到对暴露数据的任何恶意访问。Yoleri说,虽然他没有任何恶意访问的证据,但“这并不意味着它不存在。”
此外,Yoleri表示,虽然宝马在向公司报告他的发现后将存储桶设为私密,但该公司没有撤销或更改暴露的云存储桶中的密码和凭据集。
“即使桶已设为私有,也有必要更改这些访问密钥。水桶是否是私人的已经不重要了,”Yoleri补充说。他试图就随后的问题与宝马联系,但没有收到回复。
上个月,梅赛德斯-奔驰证实,它在将私钥留在网上允许“不受限制地访问”其源代码后,意外暴露了大量内部数据。在TechCrunch向梅赛德斯披露了安全问题后,这家汽车制造商表示,它已经“撤销了相应的API令牌,并立即删除了公共存储库”。