(综合TechCrunch及快科技报道2024年2月14日)近日,汽车制造商宝马公司发生一起严重的数据泄露事件。
据研究人员Can Yoleri报告,他在例行扫描中意外发现,宝马在微软Azure平台上的云存储服务器配置错误,被设置为公共访问状态,而非计划中的私有状态。这一配置错误导致宝马的私钥、内部数据以及其他敏感信息暴露于公众视野。
Yoleri表示,宝马开发环境中暴露的Microsoft Azure托管存储服务器(也称为“存储桶”)“由于配置错误而意外配置为公共而不是私有”。
Yoleri 补充说,存储桶包含“脚本文件,其中包括 Azure 容器访问信息、用于访问私有存储桶地址的密钥以及有关其他云服务的详细信息。
与 TechCrunch 分享的截图显示,暴露的数据包括宝马在中国、欧洲和美国的云服务的私钥,以及宝马生产和开发数据库的登录凭据。
目前尚不清楚暴露了多少数据,也不知道云桶在互联网上暴露了多长时间。“不幸的是,这是公共水桶问题中最大的未知数,”Yoleri 告诉 TechCrunch。“只有桶所有者才能看到它实际打开了多长时间。”
当通过电子邮件联系到宝马发言人Chris Total时,他向TechCrunch证实,数据泄露影响了基于存储开发环境的Microsoft Azure存储桶,并表示没有客户或个人数据因此受到影响。
宝马泄露用户数据如同泄露机油一样常见吗(图片来自reddit)
这位发言人补充说:“宝马集团能够在2024年初解决这个问题,我们将继续与我们的合作伙伴一起监测情况。
宝马不愿透露存储桶暴露了多长时间,也没有观察到对暴露数据的任何恶意访问。Yoleri说,虽然他没有任何恶意访问的证据,但“这并不意味着它不存在。
Yoleri 告诉 TechCrunch,虽然宝马在向公司报告他的发现后将该存储桶设为私有,但该公司并未撤销或更改在暴露的云存储桶中发现的密码和凭据集。
“即使存储桶已设为私有,也有必要更改这些访问密钥。如果桶是私有的,那就不重要了,“Yoleri说。他补充说,他试图就随后的问题与宝马联系,但没有得到回应。