TechCrunch se enteró de que una mala configuración del servidor de almacenamiento en la nube del gigante automovilístico BMW provocó la filtración de información confidencial de la empresa, incluidas claves privadas y datos internos.
Kang Yeore-ri, investigador de seguridad de la firma de inteligencia de amenazas SOCRadar, dijo a TechCrunch que descubrió el servidor de almacenamiento en la nube de BMW desprotegido mientras escaneaba Internet con regularidad.
Yoleri dijo que un servidor de almacenamiento alojado en Microsoft Azure expuesto (también conocido como “depósito”) en el entorno de desarrollo de BMW estaba “incorrectamente configurado como público en lugar de privado debido a una mala configuración”.
Yoleri agregó que el depósito de almacenamiento contenía “archivos de script que contienen información de acceso a contenedores de Azure, claves privadas para acceder a direcciones de depósitos privados y otros detalles sobre los servicios en la nube”.
Según capturas de pantalla compartidas con TechCrunch, los datos filtrados incluían claves privadas para los servicios en la nube de BMW en China, Europa y Estados Unidos, así como credenciales de inicio de sesión para las bases de datos de producción y desarrollo de BMW.
No se sabe exactamente cuántos datos estuvieron expuestos o cuánto tiempo estuvo expuesto el depósito de la nube a Internet. “Desafortunadamente, esta es la mayor incógnita en el problema del depósito público”, dijo Yoleri a TechCrunch. “Solo el propietario del depósito puede ver durante cuánto tiempo estuvo publicado realmente el depósito”.
En contacto con TechCrunch por correo electrónico, el portavoz de BMW, Chris General, confirmó que la violación de datos afectó a los depósitos de Microsoft Azure basados en el entorno de desarrollo de almacenamiento y, como resultado, ningún cliente o datos personales se vieron afectados. Dijo que no hubo tal cosa.
El portavoz añadió: “El Grupo BMW podrá resolver este problema a principios de 2024 y seguirá supervisando la situación junto con nuestros socios”.
BMW no dijo cuánto tiempo estuvo expuesto el depósito de almacenamiento ni si observó algún acceso malicioso a los datos expuestos. Yoreli dijo que no hay evidencia de acceso malicioso, pero “eso no significa que no exista”.
Yoreli le dijo a TechCrunch que después de informar sus hallazgos a la compañía, BMW hizo que el depósito fuera privado, pero la compañía no revocó ni cambió ninguna contraseña o conjunto de credenciales encontradas en el depósito de la nube pública. Dijo que no lo había hecho.
“Incluso si el depósito fuera privado, tuvimos que cambiar estas claves de acceso. Ya no importa si el depósito es privado o no”, dijo Yorelli. Añadió que intentó ponerse en contacto con BMW con respecto a este tema de seguimiento, pero no recibió respuesta.
El mes pasado, Mercedes-Benz admitió que un tesoro de datos internos se hizo público accidentalmente después de dejar una clave privada en línea que le daba “acceso irrestricto” a su código fuente. Después de que TechCrunch informara el problema de seguridad a Mercedes, el fabricante de automóviles dijo que “revocó los tokens API afectados e inmediatamente eliminó el repositorio público”.
Hyundai Motor India corrige un error que filtra información personal de los clientes
Fuente: https://techcrunch.com/2024/02/14/bmw-security-lapse-exposed-sensitive-company-information-researcher-finds/