Wie ein fälschlicherweise veröffentlichtes Passwort Mercedes-Benz Quellcode enthüllt
Plus 'Cloud Access -Schlüssel, Blaupausen, Entwurfsdokumente, Passwörter, API -Schlüssel ...'
Mercedes-Benz Laut dem Sicherheitsforschungsunternehmen, das es entdeckt hat, wurde versehentlich eine Menge interner Daten aufgetragen, nachdem ein privater Schlüssel online hinterlassen wurde.
Shubham Mittal, Mitbegründer und Chief Technology Officer von Redhunt Labs, alarmiert Techcrunch zur Exposition und bat um Hilfe bei der Offenlegung des Automobilherstellers.Die in London ansässige Cybersecurity Company sagte, es habe a entdeckt Mercedes Authentifizierungs -Token der Mitarbeiter in einem öffentlichen Github -Repository während eines routinemäßigen Internet -Scans im Januar.
Laut Mittal könnte dieses Token - eine Alternative zur Verwendung eines Kennworts zur Authentifizierung von GitHub - jedem den Github Enterprise -Server von Mercedes voll und ganz zugänglich machen und so den Download der privaten Quellcode -Repositorys des Unternehmens ermöglichen.
"Das Github -Token gab" uneingeschränkte "und" nicht überwachten "Zugriff auf den gesamten Quellcode, der auf dem internen Github Enterprise -Server gehostet wurde", erklärte Mittal in einem von TechCrunch geteilten Bericht."Zu den Repositorys gehören eine große Menge an geistigem Eigentum ... Verbindungszeichenfolgen, Cloud-Zugriffsschlüssel, Blaupausen, Entwurfsdokumente, [einzelne Sign-On] -Kennwörter, API-Schlüssel und andere kritische interne Informationen."
Mittal lieferte TechCrunch den Beweis dafür, dass die exponierten Repositorys Microsoft enthielten Azurblau und Amazon Web Services (AWS) Keys, eine Postgres -Datenbank und Mercedes -Quellcode.Es ist nicht bekannt, ob Kundendaten in den Repositorys enthalten waren.
TechCrunch hat das Sicherheitsproblem am Montag an Mercedes weitergegeben.Am Mittwoch bestätigte Mercedes -Sprecher Katja Liessenfeld, dass das Unternehmen "das jeweilige API -Token widerrufen und das öffentliche Repository sofort entfernt hat".
"Wir können bestätigen, dass der interne Quellcode durch menschliches Fehler in einem öffentlichen Github -Repository veröffentlicht wurde", sagte LieSenfeld in einer Erklärung zu TechCrunch."Die Sicherheit unserer Organisation, Produkte und Dienstleistungen ist eine unserer obersten Prioritäten."
„Wir werden diesen Fall weiter nach unseren normalen Prozessen analysieren.Abhängig davon implementieren wir Abhilfemaßnahmen “, fügte LieSenfeld hinzu.
Es ist nicht bekannt, ob jemand anderes neben Mittal den exponierten Schlüssel entdeckt hat, der Ende September 2023 veröffentlicht wurde.
Mercedes lehnte es ab, zu sagen, ob der Zugriff auf die exponierten Daten von Drittanbietern bekannt ist oder ob das Unternehmen über die technischen Fähigkeiten verfügt, z. B. Zugriffsprotokolle, um festzustellen, ob es einen unsachgemäßen Zugriff auf seine Datenrepositorys gab.Der Sprecher zitierte nicht näher bezeichnete Sicherheitsgründe.
Letzte Woche,TechCrunch berichtete ausschließlich, dass die India -Tochter von Hyundai einen Fehler behoben hat Dadurch wurden die persönlichen Daten der Kunden, einschließlich der Namen, Mailingadressen, E -Mail -Adressen und Telefonnummern von Hyundai Motor India-Kunden, bei denen ihre Fahrzeuge an Stationen in Hyundai in ganz Indien gewartet wurden.
