Come un codice sorgente Mercedes-Benz ha esposto una password pubblicata erroneamente
Plus 'Cloud Access Keys, progetti, documenti di progettazione, password, chiavi API ...'
Mercedes-Benz Accidentalmente ha esposto una serie di dati interni dopo aver lasciato una chiave privata online che ha dato "accesso illimitato" al codice sorgente dell'azienda, secondo la società di ricerca sulla sicurezza che l'ha scoperto.
Shubham Mittal, co-fondatore e direttore tecnologico di Redhunt Labs, ha allertato TechCrunch All'esposizione e ha chiesto aiuto nella divulgazione al produttore automobilistico.La società di sicurezza informatica con sede a Londra ha dichiarato di aver scoperto un Mercedes Token di autenticazione dei dipendenti in un repository di GitHub pubblico durante una scansione di routine di Internet a gennaio.
Secondo Mittal, questo token - un'alternativa all'utilizzo di una password per l'autenticazione a GitHub - potrebbe concedere a chiunque l'accesso pieno al server Enterprise GitHub di Mercedes, consentendo così il download dei repository del codice sorgente privato dell'azienda.
"Il token GitHub ha dato l'accesso" senza restrizioni "e" non monitorato "all'intero codice sorgente ospitato presso il server Enterprise GitHub interno", ha spiegato Mittal in un rapporto condiviso da TechCrunch."I repository includono una grande quantità di proprietà intellettuale ... stringhe di connessione, chiavi di accesso al cloud, progetti, documenti di progettazione, password [singolo accesso], chiavi API e altre informazioni interne critiche."
Mittal ha fornito a TechCrunch la prova che i repository esposti contenevano Microsoft Azzurro e chiavi Amazon Web Services (AWS), un database Postgres e codice sorgente Mercedes.Non è noto se i dati dei clienti fossero contenuti nei repository.
TechCrunch ha rivelato il problema della sicurezza alla Mercedes lunedì.Mercoledì, il portavoce della Mercedes Katja Liesenfeld ha confermato che la società "ha revocato il rispettivo token API e ha rimosso immediatamente il repository pubblico".
"Possiamo confermare che il codice di origine interno è stato pubblicato su un repository di GitHub pubblico per errore umano", ha dichiarato Liesenfeld in una dichiarazione a TechCrunch."La sicurezza della nostra organizzazione, prodotti e servizi è una delle nostre priorità principali".
“Continueremo ad analizzare questo caso secondo i nostri normali processi.A seconda di ciò, implementiamo misure correttive ", ha aggiunto Liesenfeld.
Non è noto se qualcun altro oltre a Mittal ha scoperto la chiave esposta, che è stata pubblicata tra la fine del 2023.
Mercedes ha rifiutato di dire se è a conoscenza di un accesso di terze parti ai dati esposti o se la società ha la capacità tecnica, come i registri di accesso, per determinare se vi fosse un accesso improprio ai suoi repository di dati.Il portavoce ha citato motivi di sicurezza non specificati.
La settimana scorsa,TechCrunch ha riferito esclusivamente che la sussidiaria dell'India di Hyundai ha risolto un bug Ciò ha esposto le informazioni personali dei suoi clienti, inclusi nomi, indirizzi postali, indirizzi e -mail e numeri di telefono di Hyundai I clienti di Motor India, che hanno manutentato i loro veicoli nelle stazioni di proprietà di Hyundai in tutta l'India.
