宝马的披露应从汽车软件运营背后的云控制面来解读。公开记录聚焦于宝马开发环境中一个被配置为公开访问的微软 Azure 托管存储桶。SOCRadar 表示,其研究人员 Can Yoleri 在 2023 年 12 月 18 日的扫描中发现了该存储桶,TechCrunch 于 2024 年 2 月 14 日报道了此事。

曝光的材料未被描述为客户记录。TechCrunch 报道了宝马在中国、欧洲和美国的云服务私钥,以及宝马生产和开发数据库的登录凭证。SOCRadar 描述了 Azure 容器访问信息、私有存储桶地址的密钥以及其他云服务细节。宝马向 TechCrunch 表示,没有客户或个人信息受到影响,并称问题已于 2024 年初修复。

这一边界之所以重要,是因为风险在于运营层面,而非消费者通知驱动。一个公开的开发存储桶仍可能泄露跨越环境、区域或云服务的机密。控制面包括公开访问策略、机密存储、凭证轮换、开发/生产隔离、云资产清单、暴露监控,以及证明已发现的密钥在隔离措施后无法再被使用。

未解决的问题也是信号的一部分。公开来源并未明确该存储桶可访问的时间有多长、有多少数据可被访问、是否有任何一方使用了暴露的材料、是否所有凭证都已被撤销、或者宝马是否更改了周边的控制措施。这些问题应通过后续公司、研究人员或高质量的安全报告来追踪,而不是根据标题进行猜测。