O TechCrunch descobriu que um servidor de armazenamento em nuvem pertencente à gigante automotiva BMW estava mal configurado, expondo informações confidenciais da empresa, incluindo chaves privadas e dados internos.
O pesquisador de segurança Can Yoleri, da SOCRadar, revelou ao TechCrunch que encontrou o servidor de armazenamento em nuvem da BMW enquanto fazia verificações de rotina na internet. Segundo Yoleri, o servidor hospedado no Microsoft Azure estava configurado para ser público em vez de privado devido a uma configuração incorreta.
Os arquivos expostos incluíam informações de acesso ao contêiner do Azure, chaves secretas para endereços de buckets privados e detalhes sobre outros serviços em nuvem da BMW. Entre os dados expostos estavam chaves privadas para serviços em nuvem da BMW na China, Europa e Estados Unidos, além de credenciais de login para bancos de dados de produção e desenvolvimento.
A extensão e a duração da exposição dos dados não foram determinadas, mas a BMW confirmou que o problema foi resolvido no início de 2024. Um porta-voz da BMW afirmou que nenhum cliente ou dado pessoal foi afetado, e a empresa está monitorando a situação em conjunto com seus parceiros.
Embora não haja evidências de acesso malicioso, Yoleri ressaltou a importância de alterar as chaves de acesso, mesmo após tornar o bucket privado. Ele tentou contatar a BMW sobre o problema subsequente, mas não obteve resposta.
Este incidente ocorre pouco tempo depois que a Mercedes-Benz admitiu ter exposto acidentalmente dados internos devido a uma chave privada online. Após ser notificada pelo TechCrunch, a Mercedes revogou o token API relevante e removeu o repositório público imediatamente.
Esses incidentes destacam a importância da configuração correta de servidores de armazenamento em nuvem e a necessidade de uma resposta rápida e eficaz para proteger os dados sensíveis das empresas.