La divulgation de BMW doit être lue à travers le plan de contrôle cloud derrière les opérations logicielles automobiles. Le dossier public se concentre sur un compartiment de stockage hébergé sur Microsoft Azure dans l'environnement de développement de BMW, qui était configuré pour un accès public. SOCRadar a indiqué que son chercheur Can Yoleri a découvert le compartiment lors d'une analyse le 18 décembre 2023, et TechCrunch a rapporté l'histoire le 14 février 2024.

Les éléments exposés n'ont pas été décrits comme des dossiers clients. TechCrunch a signalé des clés privées pour les services cloud de BMW en Chine, en Europe et aux États-Unis, ainsi que des identifiants de connexion pour les bases de données de production et de développement de BMW. SOCRadar a décrit des informations d'accès aux conteneurs Azure, des clés secrètes pour les adresses de compartiments privés et d'autres détails sur les services cloud. BMW a déclaré à TechCrunch qu'aucune donnée client ou personnelle n'avait été affectée et a indiqué que le problème avait été résolu au début de 2024.

Cette limite est importante car le risque est opérationnel plutôt que dicté par la notification aux consommateurs. Un compartiment de développement public peut toujours exposer des secrets qui relient les environnements, les régions ou les services cloud. La surface de contrôle comprend la politique d'accès public, le stockage des secrets, la rotation des identifiants, la séparation développement/production, l'inventaire cloud, la surveillance de l'exposition et la preuve que les clés découvertes ne peuvent pas être réutilisées après le confinement.

Les questions non résolues font également partie du signal. Les sources publiques n'établissent pas combien de temps le compartiment est resté accessible, quelle quantité de données était accessible, si une partie a utilisé les éléments exposés, si chaque identifiant a été révoqué, ou si BMW a modifié les contrôles environnants. Ces questions doivent être suivies par le biais de rapports ultérieurs de l'entreprise, du chercheur ou de sources de sécurité de haute qualité, plutôt que d'être comblées à partir du titre.