يجد الباحث أن الثغرة الأمنية في BMW كشفت عن معلومات حساسة للشركة

علمت TechCrunch أن خادم تخزين سحابي تم تكوينه بشكل خاطئ تابع لشركة BMW العملاقة للسيارات كشف عن معلومات حساسة للشركة، بما في ذلك المفاتيح الخاصة والبيانات الداخلية.

صرح Can Yoleri، الباحث الأمني ​​في شركة استخبارات التهديدات SOCRadar، لـ TechCrunch أنه اكتشف خادم التخزين السحابي BMW المكشوف أثناء فحص الإنترنت بشكل روتيني.

وقال يوليري إن خادم التخزين المكشوف المستضاف على Microsoft Azure – والمعروف أيضًا باسم “الدلو” – في بيئة تطوير BMW “تم تكوينه عن طريق الخطأ ليكون عامًا وليس خاصًا بسبب التكوين الخاطئ”.

وأضاف يوليري أن مجموعة التخزين تحتوي على “ملفات نصية تتضمن معلومات الوصول إلى حاوية Azure، ومفاتيح سرية للوصول إلى عناوين المجموعة الخاصة، وتفاصيل حول الخدمات السحابية الأخرى”.

تُظهر لقطات الشاشة التي تمت مشاركتها مع TechCrunch أن البيانات المكشوفة تضمنت مفاتيح خاصة للخدمات السحابية لشركة BMW في الصين وأوروبا والولايات المتحدة، بالإضافة إلى بيانات اعتماد تسجيل الدخول لقواعد بيانات الإنتاج والتطوير الخاصة بشركة BMW.

من غير المعروف بالضبط مقدار البيانات التي تم الكشف عنها أو المدة التي تم فيها تعرض مجموعة السحابة للإنترنت. قال يوليري لـ TechCrunch: “لسوء الحظ، هذا هو أكبر شيء غير معروف في مشاكل الدلو العامة”. “فقط مالك الدلو يمكنه معرفة المدة التي ظل مفتوحًا فيها بالفعل.”

عندما تم التواصل معه عبر البريد الإلكتروني، أكد المتحدث باسم BMW، كريس أوفرول، لـ TechCrunch أن التعرض للبيانات أثر على مجموعة Microsoft Azure المستندة إلى بيئة تطوير التخزين، وقال إنه لم تتأثر أي بيانات خاصة بالعملاء أو البيانات الشخصية نتيجة لذلك.

وأضاف المتحدث أن “مجموعة BMW تمكنت من حل هذه المشكلة في بداية عام 2024، ونحن نواصل مراقبة الوضع مع شركائنا”.

ولم تذكر شركة BMW المدة التي تم فيها كشف مجموعة التخزين، أو ما إذا كانت قد لاحظت أي وصول ضار إلى البيانات المكشوفة. وقال يوليري إنه على الرغم من عدم وجود أي دليل على وجود وصول ضار، إلا أن “هذا لا يعني أنه غير موجود”.

أخبر يوليري موقع TechCrunch أنه على الرغم من أن شركة BMW جعلت المجموعة خاصة بعد أن أبلغت الشركة بالنتائج التي توصل إليها، إلا أن الشركة لم تقم بإلغاء أو تغيير مجموعات كلمات المرور وبيانات الاعتماد الموجودة داخل المجموعة السحابية المكشوفة.

“حتى لو تم جعل المجموعة خاصة، كان من الضروري تغيير مفاتيح الوصول هذه. قال يوليري: “لا يهم إذا أصبح الدلو خاصًا بعد الآن”. وأضاف أنه حاول التواصل مع شركة BMW بشأن هذه المشكلة اللاحقة لكنه لم يتلق أي رد.

وفي الشهر الماضي، أكدت شركة مرسيدس بنز أنها كشفت عن طريق الخطأ عن مجموعة كبيرة من البيانات الداخلية بعد ترك مفتاح خاص على الإنترنت يسمح “بالوصول غير المقيد” إلى كود المصدر الخاص بها. وبعد أن كشفت TechCrunch عن المشكلة الأمنية لمرسيدس، قالت شركة صناعة السيارات إنها “ألغت رمز API الخاص بها وأزالت المستودع العام على الفور”.