TechCrunch’ın edindiği bilgiye göre, otomotiv devi BMW’ye ait yanlış yapılandırılmış bir bulut depolama sunucusu, özel anahtarlar ve dahili veriler de dahil olmak üzere hassas şirket bilgilerini açığa çıkardı.
Tehdit istihbaratı şirketi SOCRadar’da güvenlik araştırmacısı olan Can Yoleri, TechCrunch’a, rutin olarak interneti tararken açıkta kalan BMW bulut depolama sunucusunu keşfettiğini söyledi.
Yoleri, BMW’nin geliştirme ortamındaki açığa çıkan Microsoft Azure tarafından barındırılan depolama sunucusunun (aynı zamanda “kova” olarak da bilinir) “yanlış yapılandırma nedeniyle yanlışlıkla özel yerine herkese açık olacak şekilde yapılandırıldığını” söyledi.
Yoleri, depolama paketinin “Azure kapsayıcı erişim bilgilerini, özel paket adreslerine erişim için gizli anahtarları ve diğer bulut hizmetleriyle ilgili ayrıntıları içeren komut dosyaları” içerdiğini ekledi.
TechCrunch ile paylaşılan ekran görüntüleri, ifşa edilen verilerin BMW’nin Çin, Avrupa ve Amerika Birleşik Devletleri’ndeki bulut hizmetleri için özel anahtarların yanı sıra BMW’nin üretim ve geliştirme veritabanları için oturum açma kimlik bilgilerini içerdiğini gösteriyor.
Tam olarak ne kadar verinin açığa çıktığı ya da bulut kümesinin ne kadar süreyle internete maruz kaldığı bilinmiyor. Yoleri, TechCrunch’a “Maalesef halka açık kova sorunlarında en büyük bilinmeyen bu” dedi. “Gerçekte ne kadar süredir açık olduğunu yalnızca kova sahibi görebilir.”
E-postayla ulaşılan BMW sözcüsü Chris General, TechCrunch’a veri ifşasının depolama geliştirme ortamındaki bir Microsoft Azure grubunu etkilediğini doğruladı ve bunun sonucunda hiçbir müşteri veya kişisel verinin etkilenmediğini söyledi.
Sözcü, “BMW Group’un bu sorunu 2024’ün başında çözmeyi başardığını ve durumu ortaklarımızla birlikte izlemeye devam ediyoruz” diye ekledi.
BMW, depolama grubunun ne kadar süreyle açığa çıktığını veya açığa çıkan verilere herhangi bir kötü niyetli erişim gözlemleyip gözlemlemediğini söylemedi. Yoleri, kötü niyetli erişime dair herhangi bir kanıta sahip olmasa da “bunun, bunun var olmadığı anlamına gelmediğini” söyledi.
Yoleri, TechCrunch’a, bulgularını şirkete bildirdikten sonra BMW’nin kovayı özel hale getirdiğini, ancak şirketin açığa çıkan bulut paketinde bulunan şifre ve kimlik bilgilerini iptal etmediğini veya değiştirmediğini söyledi.
“Paket özel hale getirilmiş olsa bile bu erişim anahtarlarının değiştirilmesi gerekiyordu. Artık kovanın özel olup olmamasının bir önemi yok” dedi Yoleri. Sonraki konuyla ilgili olarak BMW’ye ulaşmaya çalıştığını ancak yanıt alamadığını da sözlerine ekledi.
Geçen ay Mercedes-Benz, kaynak koduna “sınırsız erişime” izin veren özel bir anahtarı çevrimiçi bıraktıktan sonra yanlışlıkla bir dizi dahili veriyi açığa çıkardığını doğruladı. TechCrunch’ın güvenlik sorununu Mercedes’e açıklamasının ardından otomobil üreticisi, “ilgili API tokenını iptal ettiğini ve halka açık veri havuzunu derhal kaldırdığını” söyledi.
