據(jù)Tech Crunch報道，寶馬的云存儲服務(wù)器發(fā)生配置錯誤事件，導(dǎo)致私鑰和內(nèi)部數(shù)據(jù)等敏感信息暴露。

威脅情報公司SOCradar的安全研究員Can Yoleri告訴TechCrunch，他在定期掃描互聯(lián)網(wǎng)時發(fā)現(xiàn)了暴露的寶馬云存儲服務(wù)器。

Yoleri說，寶馬開發(fā)環(huán)境中暴露的微軟Azure托管存儲服務(wù)器（也稱為“存儲桶”）“由于配置錯誤，意外配置為公共服務(wù)器而不是私有服務(wù)器”。

Yoleri補充說，存儲桶包含“腳本文件，包括Azure容器訪問信息、訪問私有桶地址的密鑰以及其他云服務(wù)的詳細信息。”

據(jù)了解，暴露的數(shù)據(jù)包括寶馬在中國、歐洲和美國云服務(wù)的私鑰，以及寶馬生產(chǎn)和開發(fā)數(shù)據(jù)庫的登錄憑據(jù)。

目前尚不清楚就暴露了多少數(shù)據(jù)，也不清楚云桶在互聯(lián)網(wǎng)上暴露了多長時間。Yoleri告訴媒體稱：“不幸的是，這是公共桶問題中最大的未知數(shù)?！薄爸挥写鎯ν八姓卟拍芸吹剿鼘嶋H上已經(jīng)打開了多長時間?！?/p>

當(dāng)通過電子郵件聯(lián)系到寶馬發(fā)言人Chris Overall時，他向媒體證實，數(shù)據(jù)暴露影響了基于存儲開發(fā)環(huán)境的Microsoft Azure存儲桶，但其表示沒有影響客戶或個人數(shù)據(jù)。

發(fā)言人補充說：“寶馬集團已在2024年初解決這個問題，我們將繼續(xù)與合作伙伴一起監(jiān)控情況?！?/p>

寶馬并未說明存儲桶暴露了多長時間，或者它是否觀察到對暴露數(shù)據(jù)的任何惡意訪問。Yoleri說，雖然他沒有任何惡意訪問的證據(jù)，但“這并不意味著它不存在。”

此外，Yoleri表示，雖然寶馬在向公司報告他的發(fā)現(xiàn)后將存儲桶設(shè)為私密，但該公司沒有撤銷或更改暴露的云存儲桶中的密碼和憑據(jù)集。

“即使桶已設(shè)為私有，也有必要更改這些訪問密鑰。水桶是否是私人的已經(jīng)不重要了，”Yoleri補充說。他試圖就隨后的問題與寶馬聯(lián)系，但沒有收到回復(fù)。

上個月，梅賽德斯-奔馳證實，它在將私鑰留在網(wǎng)上允許“不受限制地訪問”其源代碼后，意外暴露了大量內(nèi)部數(shù)據(jù)。在TechCrunch向梅賽德斯披露了安全問題后，這家汽車制造商表示，它已經(jīng)“撤銷了相應(yīng)的API令牌，并立即刪除了公共存儲庫”。