كيف تم نشر كلمة المرور المنشورة عن طريق الخطأ مدونة مصدر مرسيدس بنز
بالإضافة إلى مفاتيح الوصول إلى السحابة ، والمخططات ، ومستندات التصميم ، وكلمات المرور ، ومفاتيح API ... "
مرسيدس بنز كشفت عن طريق الخطأ مجموعة من البيانات الداخلية بعد ترك مفتاح خاص عبر الإنترنت أعطى "وصولًا غير مقيد" إلى رمز المصدر للشركة ، وفقًا لشركة أبحاث الأمن التي اكتشفتها.
شوبهام ميتال ، المؤسس المشارك وكبير موظفي التكنولوجيا في Redhunt Labs ، تم تنبيهه TechCrunch إلى التعرض وطلب المساعدة في الكشف عن صانع السيارات.قالت شركة الأمن السيبراني ومقرها لندن إنها اكتشفت أ مرسيدس رمز مصادقة الموظف في مستودع github العام أثناء فحص الإنترنت الروتيني في يناير.
وفقًا لـ Mittal ، يمكن أن يمنح هذا الرمز المميز - بديل لاستخدام كلمة مرور للمصادقة على GitHub - أي شخص كامل الوصول إلى خادم GitHub Enterprise الخاص بـ Mercedes ، وبالتالي السماح بتنزيل مستودعات الشفرة المصدر الخاصة للشركة.
"لقد أعطى رمز Github" غير مقيد "و" غير مرغوب فيه "إلى رمز المصدر بأكمله المستضاف في خادم GitHub Enterprise الداخلي" ، أوضح ميتال في تقرير شاركه TechCrunch."تتضمن المستودعات كمية كبيرة من الملكية الفكرية ... سلاسل اتصال ، ومفاتيح الوصول إلى السحابة ، والمخططات ، ومستندات التصميم ، وكلمات مرور [تسجيل واحدة] ، ومفاتيح واجهة برمجة التطبيقات ، وغيرها من المعلومات الداخلية الحرجة."
قدمت Mittal TechCrunch أدلة على أن المستودعات المكشوفة تحتوي على Microsoft أزور و Amazon Web Services (AWS) Keys ، قاعدة بيانات Postgres ، ورمز المصدر Mercedes.من غير المعروف ما إذا كانت أي بيانات عميل موجودة داخل المستودعات.
كشفت TechCrunch عن قضية الأمن إلى Mercedes يوم الاثنين.يوم الأربعاء ، أكدت كاتجا ليسينفيلد ، المتحدثة باسم مرسيدس ، أن الشركة "ألغت رمز API المعني وأزال المستودع العام على الفور".
وقال ليسينفيلد في بيان لـ TechCrunch: "يمكننا أن نؤكد أن رمز المصدر الداخلي قد تم نشره على مستودع GitHub العام عن طريق الخطأ البشري"."إن أمان منظمتنا ومنتجاتنا وخدماتنا هي واحدة من أهم أولوياتنا."
"سنستمر في تحليل هذه الحالة وفقًا لعملياتنا العادية.اعتمادًا على هذا ، ننفذ التدابير العلاجية ".
لا يُعرف ما إذا كان أي شخص آخر إلى جانب ميتال اكتشف المفتاح المكشوف ، والذي تم نشره في أواخر سبتمبر 2023.
ورفضت مرسيدس أن تقول ما إذا كانت على دراية بأي وصول طرف ثالث إلى البيانات المكشوفة أو ما إذا كانت الشركة لديها القدرة التقنية ، مثل سجلات الوصول ، لتحديد ما إذا كان هناك أي وصول غير لائق إلى مستودعات البيانات الخاصة بها.استشهد المتحدث باسم أسباب أمنية غير محددة.
الأسبوع الماضي،ذكرت TechCrunch حصريًا أن شركة Hyundai في الهند أصلحت خطأ هذا ما كشف المعلومات الشخصية لعملائها ، بما في ذلك الأسماء والعناوين البريدية وعناوين البريد الإلكتروني وأرقام الهواتف من هيونداي عملاء Motor India ، الذين قاموا بخدمة سياراتهم في محطات Hyundai في جميع أنحاء الهند.
