실수로 게시 된 암호가 노출 된 메르세데스-벤츠 소스 코드
또한 '클라우드 액세스 키, 청사진, 디자인 문서, 암호, API 키 ...'
메르세데스-벤츠 보안 연구 회사에 따르면이를 발견 한 보안 연구 회사에 따르면, 개인 키를 온라인으로 떠난 후 실수로 내부 데이터를 노출시켰다.
Shubham Mittal, Redhunt Labs의 공동 창립자이자 최고 기술 책임자 TechCrunch 노출에 대해 자동차 제조업체에게 공개하는 데 도움을 요청했습니다.런던에 본사를 둔 사이버 보안 회사는이를 발견했다고 밝혔다 메르세데스 1 월 일상적인 인터넷 스캔 중에 공개 Github 저장소에서 직원의 인증 토큰.
Mittal에 따르면,이 토큰 인 Github에 대한 비밀번호를 사용하는 대안은 Mercedes의 Github Enterprise Server에 모든 액세스 권한을 부여하여 회사의 개인 소스 코드 리포지토리를 다운로드 할 수 있습니다.
Mittal은 TechCrunch가 공유 한 보고서에서“Github 토큰은 내부 Github Enterprise Server에서 호스팅 된 전체 소스 코드에 '무제한'및 '모니터링되지 않은'액세스 권한을 부여했습니다."리포지토리에는 많은 양의 지적 속성, 연결 문자열, 클라우드 액세스 키, 청사진, 디자인 문서, [단일 사인온] 암호, API 키 및 기타 중요한 내부 정보가 포함됩니다."
Mittal은 TechCrunch에게 노출 된 저장소에 Microsoft에 포함되어 있다는 증거를 제공했습니다. 하늘빛 AWS (Amazon Web Services) 키, Postgres 데이터베이스 및 Mercedes 소스 코드.고객 데이터가 리포지토리 내에 포함되어 있는지는 알려져 있지 않습니다.
TechCrunch는 월요일에 보안 문제를 메르세데스에게 공개했습니다.수요일 메르세데스 대변인 Katja Liesenfeld는 회사가“각각의 API 토큰을 철회하고 즉시 공공 저장소를 제거했다”고 확인했다.
Liesenfeld는 TechCrunch에 대한 성명서에서“내부 소스 코드가 인간 오류로 공개 Github 저장소에 게시되었음을 확인할 수 있습니다."조직, 제품 및 서비스의 보안은 우리의 최우선 과제 중 하나입니다."
“우리는 정상적인 프로세스에 따라이 사례를 계속 분석 할 것입니다.이에 따라 우리는 치료 조치를 구현합니다.”라고 Liesenfeld는 덧붙였습니다.
미탈 외에 다른 사람이 2023 년 9 월 말에 출판 된 노출 된 키를 발견했는지는 알려져 있지 않습니다.
메르세데스는 노출 된 데이터에 대한 제 3 자 액세스를 알고 있는지 또는 회사가 액세스 로그와 같은 기술적 능력을 가지고 있는지 여부를 데이터 저장소에 부적절하게 액세스 할 수 있는지 여부를 밝히지 않았습니다.대변인은 지정되지 않은 보안상의 이유를 인용했습니다.
지난주,TechCrunch는 현대의 인도 자회사가 버그를 수정했다고 독점적으로보고했습니다. 이름, 우편 주소, 이메일 주소 및 전화 번호를 포함하여 고객의 개인 정보를 노출 시켰습니다. 현대 인도 전역의 현대 소유국에서 차량을 보유한 자동차 인도 고객.
