如何错误发布的密码暴露了梅赛德斯 - 奔驰源代码
加上“云访问密钥,蓝图,设计文档,密码,API键...”
梅赛德斯·奔驰 根据发现它的安全研究公司的说法,在离开私钥的在线私有密钥后,不小心暴露了一大批内部数据。
Redhunt Labs的联合创始人兼首席技术官Shubham Mittal提醒 TechCrunch 曝光并寻求帮助向汽车制造商披露。这家总部位于伦敦的网络安全公司说,它发现了一个 梅赛德斯 一月份的常规互联网扫描期间,员工在公共GitHub存储库中的身份验证令牌。
根据Mittal的说法,这个代币(使用密码对GITHUB进行身份验证的替代方法)可以使任何人完全访问Mercedes的GitHub Enterprise Server,从而允许下载公司的私人源代码存储库。
Mittal在TechCrunch共享的一份报告中解释说:“ GitHub令牌给了'无限制'和'不受监控的'访问托管在内部Github Enterprise Server上的整个源代码的访问。”“存储库包括大量知识产权...连接字符串,云访问密钥,蓝图,设计文档,[单登录]密码,API键和其他关键内部信息。”
米塔尔(Mittal azure 以及Amazon Web Services(AWS)密钥,Postgres数据库和Mercedes源代码。不知道存储库中是否包含任何客户数据。
TechCrunch周一向梅赛德斯透露了安全问题。周三,梅赛德斯发言人卡特贾·里森菲尔德(Katja Liesenfeld)确认该公司“撤销了各自的API令牌,并立即删除了公共存储库。”
Liesenfeld在TechCrunch的一份声明中说:“我们可以确认内部源代码是通过人为错误在公共GitHub存储库上发布的。”“我们组织,产品和服务的安全是我们的首要任务之一。”
“我们将继续根据我们的正常过程来分析此案。根据这一点,我们实施了补救措施。” Liesenfeld补充说。
除了米塔尔(Mittal)之外,还不知道是否有人发现了裸露的钥匙,该钥匙于2023年9月下旬出版。
梅赛德斯拒绝透露是否知道对曝光数据的任何第三方访问权限,还是公司是否具有诸如访问日志之类的技术能力,以确定是否有任何对其数据存储库的访问权限。发言人引用了未指定的安全原因。
上星期,TechCrunch独家报告说,现代印度的子公司修复了一个错误 暴露了其客户的个人信息,包括名称,邮寄地址,电子邮件地址和电话号码 现代 印度的汽车客户,他们的车辆在印度的现代拥有的电台提供服务。
