2min Security

Private keys en logins BMW zaten in openbare Azure-server

Private keys en logins BMW zaten in openbare Azure-server

Een misconfiguratie van een Microsoft Azure-server van BMW lekte gevoelige bedrijfsinformatie. Dit ontdekte een onderzoeker van SOCRadar tijdens een routine-scan op het internet, meldt TechCrunch.

Volgens TechCrunch ontdekte Can Yoleri, securityonderzoeker bij SOCRadar, tijdens een routinescan van het internet de verkeerd geconfigureerde en daardoor openstaande Azure-server van het Duitse automobielconcern BMW. De zogenoemde Azure ‘bucket’ bevond zich in de ontwikkelomgeving van BMW en was per ongeluk geconfigureerd als een openbare server in plaats van een geslote server. Hierdoor was deze natuurlijk leesbaar.

Inloggegevens meerdere clouddiensten

In de openstaande Azure bucket trof de securityonderzoeker gevoelige informatie aan, zoals toegangsinformatie voor Azure containers, geheime keys voor toegang tot private bucket-adressen en details over andere clouddiensten. Meer specifiek zou het hierbij gaan om de private keys voor de BMW-clouddiensten in China, Europa en de VS. Ook ging het om logingegevens voor de productie- en ontwikkeldatabases van het autoconcern.

Het is onbekend hoelang de betreffende bucket heeft opengestaan. De security-onderzoeker heeft zijn bevindingen met BMW gedeeld.

Probleem deels aangepakt

In een reactie geeft BMW aan dat de bewuste Azure bucket inderdaad heeft opengestaan. Volgens een woordvoerder betrof het een Azure bucket in een storage ontwikkelomgeving van het bedrijf. Klantendata of andere persoonlijke gegevens zijn niet gelekt.

Begin 2024 zou BMW dit probleem hebben opgelost. Het bedrijf blijft alert op mogelijk misbruik. De autofabrikant wilde niet ingaan op hoelang de betreffende bucket openstond en vertelde niet of er inmiddels kwaadaardige toegang tot de blootgestelde data was verkregen.

In een reactie stelt onderzoeker Yoleri overigens dat het automobielconcern nog steeds niet alle wachtwoorden of andere inloggegegevens heeft ingetrokken of aangepast. Het automobielconcern heeft de Azure bucket dus alleen privaat gemaakt.

Meer misconfiguraties in de auto-industrie

BMW is trouwens niet de enige Duitse automobielfabrikant die recent onbedoeld bedrijfsgevoelige data openbaar heeft gemaakt. In januari van dit jaar liet Mercedes-Benz per ongeluk een private GitHub-token openstaan die ongelimiteerde toegang gaf tot broncode van het bedrijf.

Lees ook: Interne data Mercedes-Benz lag op straat door openbare GitHub-token