Como uma senha publicada por engano exposta Mercedes-Benz Código-fonte
Além de 'chaves de acesso em nuvem, plantas, documentos de design, senhas, chaves da API ...'
Mercedes-Benz Exposto acidentalmente a um tesouro de dados internos depois de deixar uma chave privada on -line que deu "acesso irrestrito" ao código -fonte da empresa, de acordo com a empresa de pesquisa de segurança que o descobriu.
Shubham Mittal, co-fundador e diretor de tecnologia da Redhunt Labs, alertado TechCrunch à exposição e pediu ajuda para divulgar à fabricante de carros.A empresa de segurança cibernética de Londres disse que descobriu um Mercedes O token de autenticação do funcionário em um repositório público do GitHub durante uma varredura de rotina na Internet em janeiro.
De acordo com Mittal, esse token - uma alternativa ao uso de uma senha para autenticar ao Github - poderia conceder a qualquer pessoa acesso total ao servidor Enterprise do Github da Mercedes, permitindo assim o download dos repositórios de código -fonte privado da empresa.
"O token do GitHub deu acesso 'irrestrito' e 'não monitorado' a todo o código -fonte hospedado no servidor interno do GitHub Enterprise", explicou Mittal em um relatório compartilhado pela TechCrunch."Os repositórios incluem uma grande quantidade de propriedade intelectual ... cadeias de conexões, chaves de acesso em nuvem, plantas, documentos de design, senhas [assinatura única], chaves da API e outras informações internas críticas".
Mittal forneceu a TechCrunch com evidências de que os repositórios expostos continham a Microsoft Azure e as chaves da Amazon Web Services (AWS), um banco de dados do Postgres e o código -fonte da Mercedes.Não se sabe se houve algum dado do cliente nos repositórios.
O TechCrunch divulgou a questão da segurança à Mercedes na segunda -feira.Na quarta -feira, o porta -voz da Mercedes, Katja Liesenfeld, confirmou que a empresa "revogou o respectivo token da API e removeu o repositório público imediatamente".
"Podemos confirmar que o código -fonte interno foi publicado em um repositório público do GitHub por erro humano", disse Liesenfeld em comunicado ao TechCrunch."A segurança de nossa organização, produtos e serviços é uma das nossas principais prioridades".
“Continuaremos analisando este caso de acordo com nossos processos normais.Dependendo disso, implementamos medidas corretivas ”, acrescentou Liesenfeld.
Não se sabe se mais alguém além de Mittal descobriu a chave exposta, publicada no final de setembro de 2023.
A Mercedes se recusou a dizer se está ciente de qualquer acesso de terceiros aos dados expostos ou se a empresa tem a capacidade técnica, como logs de acesso, para determinar se havia algum acesso inadequado aos seus repositórios de dados.O porta -voz citou motivos de segurança não especificados.
Semana passada,O TechCrunch relatou exclusivamente que a subsidiária da Hyundai na Índia corrigiu um bug Isso expôs as informações pessoais de seus clientes, incluindo nomes, endereços de correspondência, endereços de e -mail e números de telefone de Hyundai Os clientes da Motor India, que tinham seus veículos atendidos em estações de propriedade da Hyundai em toda a Índia.
