据外媒报道，威胁情报公司SOCRadar的一名安全研究员Can Yoleri发现，德国汽车巨头宝马（BMW）的一个云存储服务器配置错误，导致敏感的公司信息暴露（包含私钥及内部数据）。

Yoleri表示，他是在进行例行的互联网扫描时发现的这个暴露的宝马云存储服务器。——宝马开发环境中的Microsoft Azure托管存储服务器“由于配置错误而意外地被设置为公开而不是私有”。 

配置错误的存储桶中包含了Azure容器访问信息、访问私有存储桶地址的密钥以及其他云服务的详细信息。Yoleri与外媒TechCrunch分享的截图显示，暴露的数据包括宝马在中国、欧洲和美国的云服务私钥，以及宝马生产和开发数据库的登录凭据。

宝马发言人Chris Overall随后承认了该数据暴露事件，确认数据暴露影响了基于存储开发环境的Microsoft Azure存储桶，并表示没有影响到客户或个人数据。

Yoleri说， “只有存储桶所有者才能看到它实际上开放了多长时间。”但宝马并没有透露有多少数据被暴露，存储桶暴露在互联网上的时间有多长，也没有说明是否观察到有人对暴露的数据进行了恶意访问。

根据Yoleri的说法，即使没有发现恶意访问的证据，也不意味着数据没有被攻击者获取。据悉，在他向宝马报告他的发现后，宝马将存储桶设置为了私有，但该公司并没有撤销或更改存储桶中发现的密码和凭据。——“即使存储桶已经变成了私有的，也仍有必要更改这些访问密钥。存储桶是否是私有已经不重要了。” Yoleri补充道。

值得注意的是，就在上个月，另一家知名车企梅赛德斯-奔驰也确认发生了类似的安全事件，他们意外在网上留下了一个私钥，导致大量内部数据暴露，允许对其源代码进行不受限制的访问。

编辑：左右里

资讯来源：TechCrunch

转载请注明出处和本文链接

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。