汽车巨头宝马保留了一个云存储服务器,用于托管私钥和内部信息等敏感数据,这些数据在互联网上不受保护,并且任何知道确切位置的人都可以使用。
安全研究员 Can Yoleri 联系 TechCrunch,声称发现了一个配置错误的 Microsoft Azure 存储桶,因此被设置为公共而不是私有。
Yoleri 解释说,该存储桶包含“脚本文件,其中包括 Azure 容器访问信息、用于访问私有存储桶地址的密钥以及有关其他云服务的详细信息。” 他还找到了宝马在中国、欧洲和美国的云服务的私钥。 该存储桶还包含宝马生产和开发数据库的登录凭据。
没有证据表明文件被篡改
这里的逻辑结论是,如果 Yoleri 能够找到它,那么恶意行为者也能找到它。 不幸的是,只有宝马能透露数据库不受保护的时间有多长,以及是否有人事先访问过它。
该汽车制造商的发言人告诉该刊物,没有证据表明该事件影响了客户或个人数据。 该发言人证实,该数据库已于 2024 年初被锁定。 然而,没有找到证据和根本没有发生的事情显然是完全不同的两件事。 是否有人会推出数据库还有待观察。
然而,最糟糕的是宝马没有改变数据库中存储的秘密,约莱里说。 如果过去有人访问过它,那么它现在被锁定并不重要——其中的凭证和其他秘密仍然有效且有价值。 我们仍在等待宝马已撤销这些秘密的确认。
不受保护和配置错误的数据库仍然是当今数据泄漏和溢出的最常见原因之一。
