Konfigurationspanne: Sensible Daten von BMW standen wohl frei zugänglich im Netz

Bei dem deutschen Automobilkonzern BMW hat es offenbar ein Datenleck gegeben, durch das Angreifer potenziell eine Reihe sensibler Unternehmensinformationen abgreifen konnten. Ursache sei ein falsch konfigurierter Cloud-Storage-Server gewesen, berichtet Techcrunch unter Verweis auf Angaben des Sicherheitsforschers Can Yoleri von der Threat-Intelligence-Firma SOCRadar.

Den auch als Bucket bezeichneten und via Microsoft Azure bereitgestellten Speicherserver habe Yoleri bei einem routinemäßigen Scan entdeckt. BMW habe ihn fälschlicherweise so konfiguriert, dass er öffentlich zugänglich war – und damit auch die dort gespeicherten Skriptdateien, Anmeldeinformationen, geheimen Schlüssel für den Zugriff auf private Bucket-Adressen sowie Details über andere Clouddienste.

Als konkrete Beispiele werden private Schlüssel für BMWs Clouddienste in China, Europa und den USA sowie Anmeldeinformationen für Produktions- und Entwicklungsdatenbanken des Fahrzeugherstellers genannt. Wie viele Daten genau öffentlich zugänglich waren, ist aber wohl noch unbekannt – ebenso wie die Zeitspanne, in der der Bucket derart freizügig konfiguriert war.

Kundendaten sind angeblich nicht betroffen

Der BMW-Sprecher Chris Overall bestätigte Techcrunch die Fehlkonfiguration bestätigt. Betroffen gewesen sei ein Microsoft-Azure-Bucket in einer Storage-Entwicklungsumgebung. Von dem Vorfall seien allerdings keinerlei Kundendaten oder persönliche Daten betroffen, betonte der Sprecher. Die BMW Group habe das Problem Anfang 2024 behoben und beobachte die Angelegenheit nun zusammen mit ihren Partnern.

Beweise für einen böswilligen Zugriff auf die offengelegten Daten gibt es zwar laut Yoleri bisher nicht, jedoch warnt der Forscher zugleich davor, dass dies kein Beleg dafür sei, dass ein solcher nicht stattgefunden habe. BMW habe zwar den Bucket-Zugriff inzwischen auf privat gestellt, die offengelegten Anmeldeinformationen habe der Konzern aber bisher nicht widerrufen oder geändert.

Einen ähnlichen Vorfall gab es erst kürzlich bei Mercedes-Benz: Ein mit weitreichenden Zugriffsrechten versehenes Authentifizierungstoken lag für mehrere Monate in einem öffentlichen Github-Repository. Damit konnte im Grunde jeder auf den Quellcode und weitere sensible Daten des Unternehmens zugreifen.