TechCrunch ha descubierto que un servidor de almacenamiento en la nube mal configurado perteneciente al gigante automotriz BMW expuso información confidencial de la empresa, incluidas claves privadas y datos internos.
Can Yoleri, investigador de seguridad de la empresa de inteligencia de amenazas SOCRadar, dijo a TechCrunch que descubrió el servidor de almacenamiento en la nube de BMW expuesto mientras escaneaba Internet de forma rutinaria.
Yoleri dijo que el servidor de almacenamiento alojado en Microsoft Azure expuesto, también conocido como «depósito», en el entorno de desarrollo de BMW fue «accidentalmente configurado para ser público en lugar de privado debido a una mala configuración».
Yoleri agregó que el depósito de almacenamiento contenía «archivos de script que incluyen información de acceso al contenedor de Azure, claves secretas para acceder a direcciones de depósitos privados y detalles sobre otros servicios en la nube».
Las capturas de pantalla compartidas con TechCrunch muestran que los datos expuestos incluían claves privadas para los servicios en la nube de BMW en China, Europa y Estados Unidos, así como credenciales de inicio de sesión para las bases de datos de producción y desarrollo de BMW.
No se sabe exactamente cuántos datos estuvieron expuestos o cuánto tiempo estuvo expuesto el depósito de la nube a Internet. «Desafortunadamente, esta es la mayor incógnita en los problemas de los depósitos públicos», dijo Yoleri a TechCrunch. «Sólo el propietario del cubo puede ver cuánto tiempo lleva abierto».
Cuando se le contactó por correo electrónico, el portavoz de BMW, Chris Overall, confirmó a TechCrunch que la exposición de los datos afectó a un depósito de Microsoft Azure basado en un entorno de desarrollo de almacenamiento y dijo que, como resultado, ningún cliente o datos personales se vieron afectados.
El portavoz añadió que «BMW Group pudo solucionar este problema a principios de 2024 y seguimos supervisando la situación junto con nuestros socios».
BMW no dijo durante cuánto tiempo estuvo expuesto el depósito de almacenamiento ni si había observado algún acceso malicioso a los datos expuestos. Yoleri dijo que si bien no tiene ninguna evidencia de acceso malicioso, «eso no significa que no exista».
Yoleri le dijo a TechCrunch que, si bien BMW hizo que el depósito fuera privado después de informar sus hallazgos a la compañía, la compañía no revocó ni cambió los conjuntos de contraseñas y credenciales que se encuentran dentro del depósito en la nube expuesto.
“Incluso si el depósito se hizo privado, era necesario cambiar estas claves de acceso. Ya no importa si el depósito es privado”, dijo Yoleri. Añadió que intentó comunicarse con BMW sobre este tema posterior, pero no recibió respuesta.
El mes pasado, Mercedes-Benz confirmó que expuso accidentalmente una gran cantidad de datos internos luego de dejar una clave privada en línea que permitía “acceso irrestricto” a su código fuente. Después de que TechCrunch revelara el problema de seguridad a Mercedes, el fabricante de automóviles dijo que había «revocado el token API respectivo y eliminado el repositorio público de inmediato».