Peinliche IT-Panne: BMW hatte ein großes Problem mit einem Server, auf dem sensible Unternehmensinformationen abgelegt waren. Wegen falscher Konfiguration waren diese für jedermann im Netz frei zugänglich. Erst ein externer Sicherheitsforscher entdeckte die Lücke. , 15.02.2024 13:13 Uhr 
BMW
Datenpanne bei BMW: Server auf Abwegen entdeckt
Der Sicherheitsforscher Can Yoleri von der IT-Sicherheitsfirma SOCRadar hatte einen routinemäßigen Scan des Internets durchgeführt. Dabei ist ihm ein Speicher eines Unternehmens aufgefallen, der so auf keinen Fall hätte auffindbar sein sollen. Wie Yoleri gegenüber beschreibt, fand er einen vollkommen frei zugänglichen BMW .Wie der Forscher schnell feststellen konnte: Hier handelte es sich um einen von Microsoft Azure gehosteten Speicherserver – Bucket genannt – der in der Entwicklungsumgebung des Unternehmens zum Einsatz kam und “aufgrund einer Fehlkonfiguration versehentlich als öffentlich statt privat konfiguriert war”.Und was hat BMW da genau offen ins Netz gestellt? Yoleri fand nach eigenen Angaben Zugriffsinformationen zu Azure-Containern, geheime Schlüssel für den Zugang zu privaten Bucket-Adressen und Details zu anderen Cloud-Diensten. TechCrunch bestätigt, dass der Datensatz Anmeldedaten für die Produktions- und Entwicklungsdatenbanken von BMW umfasst.Aktuell weiß nur BMW, warum genau und vor allem wie lange der falsch konfigurierte Server offen im Netz zugänglich war. Dazu macht das Unternehmen aktuell aber keine Angaben. Wie ein Sprecher mitteilt, sei die Lücke “Anfang 2024” geschlossen worden. Persönliche Kundendaten seien nicht betroffen.Yoleri bestätigte, dass die IT-Abteilung von BMW nach seinem Hinweis die Konfiguration des Buckets angepasst hatte. Allerdings bleibt nach seiner Ansicht ein großes Problem: die Passwörter und Anmeldeinformationen, die öffentlich zugänglich waren, hat BMW bis heute nicht geändert. Er habe das Unternehmen erneut kontaktiert, aber noch keine Antwort erhalten.
Zusammenfassung
- BMW-Server mit sensiblen Daten war ungeschützt
- Falsche Konfiguration machte Unternehmensinformationen zugänglich
- Sicherheitsforscher entdeckte offene Cloud
- Microsoft Azure Bucket war irrtümlich öffentlich
- Zugriffsinformationen und geheime Schlüssel offenbart
- BMW Sicherheitslücke Anfang 2024 geschlossen
- Passwörter und Anmeldeinformationen bisher nicht geändert
