BMW heeft door een misconfiguratie in Microsoft Azure de sleutels tot een groot deel van zijn cloud-koninkrijk te grabbel gelegd. Het is onduidelijk of ongure elementen ermee aan de haal zijn gegaan.
Een cloudopslagserver van BMW in Microsoft Azure stond verkeerdelijk als publiek geconfigureerd. Dat ontdekte beveilgiingsonderzoeker Can Yoleri van SOCRadar. In de bucket vond de onderzoekers scriptjes die op hun beurt toegangsgegevens bevatte voor private buckets, net als gevoelige informatie over andere clouddiensten. Wie zich een weg baande naar de publiek toegankelijke server, vond daar met andere woorden de sleutels voor de rest van BMW’s digitale koninkrijk.
Sleutels en toegangsgegevens
Yoleni deelde screenshots met TechCrunch die aantonen dat hij private sleutels voor clouddiensten in China, Europa en de VS kon bemachtigen, samen met logingegevens voor de productie- en ontwikkel-omgeving van BMW. Hoe veel data stonden blootgesteld aan het internet is niet duidelijk, hoe lang de misconfiguratie heeft geduurd evenmin.
De onderzoeker deelde zijn bevindingen met BMW, dat de publieke server prompt privaat zette. Volgens Yoleni heeft BMW echter geen andere gegevens aangepast. De gelekte sleutels zijn met andere woorden nog steeds actueel. Hij merkt op dat BMW eigenlijk alle gelekte gegevens moet aanpassen, omdat het perfect mogelijk is dat iemand met slechtere bedoelingen op dezelfde bucket is gestuit. BMW zou niet meer geantwoord hebben op die verdere opmerkingen.
Misconfiguraties zijn het grootste beveiligingsrisico in de cloud. De cloudprovider staat in de voor de veiligheid van de infrastructuur, maar de klant is verantwoordelijk voor de omgeving die hij gebruikt. Correcte instellingen en veilige wachtwoorden zijn essentieel maar een fout is soms snel gemaakt.