Cómo un código fuente de Mercedes-Benz expuesto contraseña por error por error Mercedes-Benz
Plus 'claves de acceso a la nube, planos, documentos de diseño, contraseñas, claves API ...'
Mercedes-Benz Accidentalmente expuso un tesoro de datos internos después de dejar una clave privada en línea que dio "acceso sin restricciones" al código fuente de la compañía, según la firma de investigación de seguridad que lo descubrió.
Shubham Mittal, cofundador y director de tecnología de Redhunt Labs, alertó TechCrunch a la exposición y pidió ayuda para revelar al fabricante de automóviles.La compañía de ciberseguridad con sede en Londres dijo que descubrió un Mercedes Token de autenticación del empleado en un repositorio público de GitHub durante un escaneo de Internet de rutina en enero.
Según Mittal, este token, una alternativa al uso de una contraseña para autenticar a GitHub, podría otorgar a cualquiera acceso total al servidor GitHub Enterprise de Mercedes, lo que permite la descarga de los repositorios de código fuente privado de la compañía.
"El token de GitHub dio acceso" sin restricciones "y" sin supervisión "a todo el código fuente alojado en el servidor interno de GitHub Enterprise", explicó Mittal en un informe compartido por TechCrunch."Los repositorios incluyen una gran cantidad de propiedad intelectual ... cadenas de conexión, claves de acceso a la nube, planos, documentos de diseño, contraseñas [de inicio de sesión único], claves API y otra información interna crítica".
Mittal proporcionó a TechCrunch evidencia de que los repositorios expuestos contenían Microsoft Azur y Keys de Amazon Web Services (AWS), una base de datos de Postgres y el código fuente de Mercedes.No se sabe si se contienen datos del cliente dentro de los repositorios.
TechCrunch reveló el problema de seguridad a Mercedes el lunes.El miércoles, el portavoz de Mercedes, Katja Liesenfeld, confirmó que la compañía "revocó el token API respectivo y eliminó el repositorio público de inmediato".
"Podemos confirmar que el código fuente interno fue publicado en un repositorio público de GitHub por error humano", dijo Liesenfeld en un comunicado a TechCrunch."La seguridad de nuestra organización, productos y servicios es una de nuestras principales prioridades".
“Continuaremos analizando este caso de acuerdo con nuestros procesos normales.Dependiendo de esto, implementamos medidas correctivas ”, agregó Liesenfeld.
No se sabe si alguien más además de Mittal descubrió la clave expuesta, que se publicó a fines de septiembre de 2023.
Mercedes se negó a decir si es consciente de algún acceso de terceros a los datos expuestos o si la Compañía tiene la capacidad técnica, como los registros de acceso, para determinar si había algún acceso incorrecto a sus repositorios de datos.El portavoz citó razones de seguridad no especificadas.
La semana pasada,TechCrunch informó exclusivamente que la subsidiaria de la India de Hyundai solucionó un error que expuso la información personal de sus clientes, incluidos los nombres, las direcciones postales, las direcciones de correo electrónico y los números de teléfono de Hyundai Los clientes de Motor India, a quienes les atendieron sus vehículos en las estaciones propiedad de Hyundai en toda la India.
