Неправильно настроенный сервер хранения данных в Microsoft Azure стал причиной утечки данных из IT-инфраструктуры BMW, в том числе закрытых ключей и внутренней информации. Открытый сервер облачного хранилища автопроизводителя обнаружил исследователь безопасности компании SOCRadar Кэн Йолери во время регулярного сканирования интернета.
По словам эксперта, сервер хранения в среде разработки BMW был настроен как общедоступный, а не приватный из-за неправильной конфигурации. Йолери добавил, что сегмент хранилища содержал файлы сценариев, включая информацию о доступе к контейнеру Azure, секретные ключи к частным адресам сегмента и сведения о других облачных сервисах.
Скриншоты в распоряжении TechCrunch демонстрируют, что раскрытые данные включали закрытые ключи для облачных сервисов BMW в Китае, Европе и США, а также учётные данные для входа в базы данных производства и разработки немецкой компании.
В настоящий момент неизвестно, какой объём данных был раскрыт и как долго облачное хранилище оставалось доступным в интернете.
Представитель BMW Крис Овервер подтвердил, что утечка затронула корзину Microsoft Azure, расположенную в среде разработки хранилища. Он заверил, что в результате инцидента не пострадали клиентские и личные данные. BMW смогла решить эту проблему в начале 2024 года и продолжает следить за ситуацией совместно со своими партнёрами, заключил Овервер.
Йолери отметил, что у него нет никаких доказательств злонамеренного доступа к хранилищу. Однако он не смог подтвердить отсутствие таких попыток.
BMW сделала конфиденциальной корзину Azure после того, как Йолери известил компанию. Производитель не отозвал и не изменил наборы паролей и учётных данных, найденных в открытом облачном хранилище. Даже если корзина была приватной, необходимо изменить ключи доступа, объяснил Йолери. Ему не удалось связаться с BMW, чтобы поделиться информацией об этой проблеме.
В конце прошлого месяца Mercedes-Benz признала, что оставила в сети закрытый токен к GitHub Enterprise Server Mercedes, который давал неограниченный и неконтролируемый доступ к исходному коду автопроизводителя любому желающему.
Источник: habr.com
