Um servidor de armazenamento em nuvem mal configurado pertencente à gigante automotiva BMW expôs informações confidenciais da empresa, incluindo chaves privadas e dados internos, descobriu o TechCrunch.
Can Yoleri, pesquisador de segurança da empresa de inteligência de ameaças SOCRadar, disse ao TechCrunch que descobriu o servidor de armazenamento em nuvem BMW exposto enquanto verificava rotineiramente a Internet.
Yoleri disse que o servidor de armazenamento hospedado no Microsoft Azure exposto – também conhecido como “balde” – no ambiente de desenvolvimento da BMW foi “acidentalmente configurado para ser público em vez de privado devido a configuração incorreta”.
Yoleri acrescentou que o bucket de armazenamento continha “arquivos de script que incluem informações de acesso ao contêiner do Azure, chaves secretas para acessar endereços de buckets privados e detalhes sobre outros serviços em nuvem”.
Capturas de tela compartilhadas com o TechCrunch mostram que os dados expostos incluíam chaves privadas para os serviços em nuvem da BMW na China, Europa e Estados Unidos, bem como credenciais de login para os bancos de dados de produção e desenvolvimento da BMW.
Não se sabe exatamente quantos dados foram expostos ou por quanto tempo o balde de nuvem ficou exposto à Internet. “Infelizmente, esta é a maior incógnita nos problemas de baldes públicos”, disse Yoleri ao TechCrunch. “Somente o proprietário do balde pode ver há quanto tempo ele está realmente aberto.”
Quando contatado por e-mail, o porta-voz da BMW, Chris Geral, confirmou ao TechCrunch que a exposição de dados afetou um bucket do Microsoft Azure baseado em um ambiente de desenvolvimento de armazenamento e disse que nenhum cliente ou dados pessoais foram afetados como resultado.
O porta-voz acrescentou que “o Grupo BMW conseguiu resolver este problema no início de 2024 e continuamos a monitorizar a situação juntamente com os nossos parceiros”.
A BMW não informou por quanto tempo o balde de armazenamento ficou exposto, nem se observou algum acesso malicioso aos dados expostos. Yoleri disse que embora não tenha nenhuma evidência de acesso malicioso, “isso não significa que não exista”.
Yoleri disse ao TechCrunch que, embora a BMW tenha tornado o bucket privado depois de relatar suas descobertas à empresa, a empresa não revogou ou alterou os conjuntos de senhas e credenciais encontrados no bucket de nuvem exposto.
“Mesmo que o bucket tenha se tornado privado, foi necessário alterar essas chaves de acesso. Não importa mais se o balde é privado”, disse Yoleri. Ele acrescentou que tentou entrar em contato com a BMW sobre o problema subsequente, mas não recebeu resposta.
Mês passado, Mercedes-Benz confirmou que expôs acidentalmente uma coleção de dados internos depois de deixar online uma chave privada que permitia “acesso irrestrito” ao seu código-fonte. Depois que o TechCrunch divulgou o problema de segurança à Mercedes, a montadora disse que “revogou o respectivo token API e removeu o repositório público imediatamente”.
