Comment un mot de passe publié à tort a exposé le code source Mercedes-Benz
Plus 'Cloud Access Keys, Blueprints, Design Documents, Motswers, API Keys ...'
Mercedes-Benz Selon le cabinet de recherche sur la sécurité qui l'a découvert.
Shubham Mittal, co-fondateur et directeur de la technologie de Redhunt Labs, alerté TechCrunch à l'exposition et a demandé de l'aide pour divulguer au constructeur automobile.La société de cybersécurité basée à Londres a déclaré avoir découvert un Mercedes Le jeton d'authentification de l'employé dans un référentiel GitHub public lors d'une analyse Internet de routine en janvier.
Selon Mittal, ce jeton - une alternative à l'utilisation d'un mot de passe pour s'authentifier à GitHub - pourrait accorder à quiconque un accès complet au serveur GitHub Enterprise de Mercedes, permettant ainsi le téléchargement des référentiels de code source privé de la société.
"Le jeton GitHub a donné un accès« sans restriction »et« sans surveillance »à l'ensemble du code source hébergé au serveur interne GitHub Enterprise», a expliqué Mittal dans un rapport partagé par TechCrunch."Les référentiels comprennent une grande quantité de propriété intellectuelle ... des chaînes de connexion, des clés d'accès au cloud, des plans, des documents de conception, des mots de passe [connexion unique], des clés d'API et d'autres informations internes critiques."
Mittal a fourni à TechCrunch des preuves que les référentiels exposés contenaient Microsoft Azur et les touches Amazon Web Services (AWS), une base de données Postgres et le code source Mercedes.On ne sait pas si des données client étaient contenues dans les référentiels.
TechCrunch a révélé lundi la question de la sécurité à Mercedes.Mercredi, le porte-parole de Mercedes, Katja Liesenfeld, a confirmé que la société "avait révoqué le jeton API respectif et supprimé immédiatement le référentiel public".
"Nous pouvons confirmer que le code source interne a été publié sur un référentiel public GitHub par Human Error", a déclaré Liesenfeld dans un communiqué à TechCrunch."La sécurité de notre organisation, de nos produits et de nos services est l'une de nos principales priorités."
«Nous continuerons à analyser ce cas en fonction de nos processus normaux.Selon cela, nous mettons en œuvre des mesures correctives », a ajouté Liesenfeld.
On ne sait pas si quelqu'un d'autre en plus de Mittal a découvert la clé exposée, qui a été publiée à la fin du septembre 2023.
Mercedes a refusé de dire si elle est consciente d'un accès tiers aux données exposées ou si l'entreprise a la capacité technique, telle que les journaux d'accès, pour déterminer s'il y avait un accès inapproprié à ses référentiels de données.Le porte-parole a cité des raisons de sécurité non spécifiées.
La semaine dernière,TechCrunch a indiqué exclusivement que la filiale de Hyundai en Inde a corrigé un bug qui ont exposé les informations personnelles de ses clients, y compris les noms, les adresses postales, les adresses e-mail et les numéros de téléphone de Hyundai Les clients de Motor India, qui avaient leurs véhicules entretenus dans des stations appartenant à Hyundai à travers l'Inde.
