محقق دریافت که نقص امنیتی BMW اطلاعات حساس شرکت را در معرض دید قرار داد

شناسهٔ خبر: 450779 - تاریخ: فوریه 14, 2024

TechCrunch دریافته است که یک سرور ذخیره سازی ابری با پیکربندی نادرست متعلق به غول خودروسازی BMW اطلاعات حساس شرکت، از جمله کلیدهای خصوصی و داده های داخلی را در معرض نمایش قرار داده است.

Can Yoleri، محقق امنیتی در شرکت اطلاعاتی تهدیدات SOCRadar، به TechCrunch بيان کرد که هنگام اسکن معمول اینترنت، سرور ذخیره‌سازی ابری BMW را کشف کرد.

یولری بيان کرد سرور ذخیره‌سازی میزبان مایکروسافت Azure – که به عنوان «سطل» نیز شناخته می‌شود – در محیط توسعه BMW «به‌طور تصادفی به‌دلیل پیکربندی نادرست به‌عنوان عمومی به‌جای خصوصی پیکربندی شده است».

یولری اضافه کرد که سطل ذخیره‌سازی حاوی «فایل‌های اسکریپت است که شامل اطلاعات دسترسی به کانتینر Azure، کلیدهای مخفی برای دسترسی به آدرس‌های سطل خصوصی و جزئیات مربوط به سایر سرویس‌های ابری است».

اسکرین شات های به اشتراک گذاشته شده با TechCrunch نشان می دهد که داده های افشا شده شامل کلیدهای خصوصی سرویس های ابری BMW در چین، اروپا و ایالات متحده و همچنین اعتبار ورود به پایگاه داده های تولید و توسعه BMW است.

دقیقاً مشخص نیست که چه مقدار داده در معرض قرار گرفته است یا چه مدت سطل ابری در معرض اینترنت بوده است. یولری به TechCrunch گفت: «متاسفانه، این بزرگترین ناشناخته در مشکلات سطل عمومی است. "فقط صاحب سطل می تواند ببیند که واقعاً چه مدت باز بوده است. "

بیشتر بخوانید

بررسی تاثیر سینمای ژاپن بر موج نو سینمای ایران

هنگامی که از طریق ایمیل با وی تماس گرفت، کریس اورال، سخنگوی BMW به TechCrunch تأیید کرد که قرار گرفتن در معرض داده‌ها بر سطل Microsoft Azure مبتنی بر یک محیط توسعه ذخیره‌سازی تأثیر می‌گذارد و بيان کرد که در نتیجه هیچ اطلاعات مشتری یا شخصی تحت تأثیر قرار نگرفته است.

این سخنگو گفت : "گروه BMW توانست این مشکل را در ابتدای سال 2024 برطرف کند و ما به همراه شرکای خود به نظارت بر وضعیت ادامه می دهیم."

BMW ن او میگوید تا چه مدت سطل ذخیره‌سازی در معرض دید قرار گرفته است یا اینکه آیا دسترسی مخربی به داده‌های افشا شده مشاهده کرده است یا خیر. یولری بيان کرد که اگرچه شواهدی دال بر دسترسی مخرب ندارد، «به این معنا نیست که وجود ندارد».

یولری به TechCrunch بيان کرد در حالی که BMW پس از گزارش یافته‌های خود به شرکت، سطل را خصوصی کرد، این شرکت مجموعه‌ای از گذرواژه‌ها و اعتبارنامه‌های موجود در سطل ابری در معرض دید را لغو یا تغییر نداده است.

حتی اگر سطل خصوصی شده باشد، لازم بود این کلیدهای دسترسی تغییر کنند. یولری بيان کرد دیگر مهم نیست سطل خصوصی باشد. وی گفت که سعی کرده در مورد این موضوع بعدی با BMW تماس بگیرد اما پاسخی دریافت نکرده است.

ماه گذشته، مرسدس بنز تأیید کرد که به طور تصادفی مجموعه ای از داده های داخلی را پس از گذاشتن یک کلید خصوصی به صورت آنلاین که اجازه «دسترسی نامحدود» به کد منبع آن را می داد، افشا کرد. پس از اینکه TechCrunch این مشکل امنیتی را برای مرسدس فاش کرد، این خودروساز بيان کرد که "توکن API مربوطه را باطل کرده و مخزن عمومی را بلافاصله حذف کرده است. "