Как ошибочно опубликовал пароль, обнаружил исходный код Mercedes-Benz
Плюс «Клавики облачного доступа, чертежи, дизайнерские документы, пароли, клавиши API ...»
Мерседес Бенц По словам обнаруженной фирмы по безопасности, которая обнаружила его, случайно разоблачил множество внутренних данных после того, как покинул личный ключ, который дал «неограниченный доступ» к исходному коду компании.
Шубхэм Миттал, соучредитель и директор по технологиям Redhunt Labs, предупрежден TechCrunch к экспозиции и попросил помощи в раскрытии автопроизводителя.Лондонская компания по кибербезопасности заявила, что обнаружила Мерседес Токен аутентификации сотрудника в публичном репозитории GitHub во время обычного интернет -сканирования в январе.
По словам Миттала, этот токен - альтернатива использованию пароля для аутентификации для GitHub - может предоставить всем полному доступу к Mercedes Github Enterprise Server, что позволило загрузить частные хранилища Компании.
«Токен GitHub предоставил« неограниченный »и« некнутрированный »доступ ко всему исходному коду, размещенному на внутреннем GitHub Enterprise Server», - объяснил Миттал в отчете, разделенном TechCrunch.«Репозитории включают в себя большое количество интеллектуальной собственности ... Строки соединений, ключи для облачного доступа, чертежи, дизайнерские документы, пароли [единого входа], клавиши API и другую критическую внутреннюю информацию».
Миттал предоставил TechCrunch доказательства того, что открытые репозитории содержали Microsoft Лазур и клавиши Amazon Web Services (AWS), база данных Postgres и исходный код Mercedes.Неизвестно, содержались ли какие -либо данные о клиенте в репозиториях.
TechCrunch раскрыл проблему безопасности Mercedes в понедельник.В среду представитель Mercedes Katja Liesenfeld подтвердил, что компания «отменила соответствующий токен API и немедленно удалила общественный репозиторий».
«Мы можем подтвердить, что внутренний исходный код был опубликован в публичном репозитории GitHub по человеческой ошибке», - сказал Лизенфельд в заявлении TechCrunch.«Безопасность нашей организации, продуктов и услуг является одним из наших главных приоритетов».
«Мы будем продолжать анализировать этот случай в соответствии с нашими обычными процессами.В зависимости от этого, мы реализуем корректирующие меры », - добавил Лизенфельд.
Неизвестно, обнаружил ли кто-нибудь еще, кроме Миттала, был опубликован в конце сентября 2023 года.
Mercedes отказался сообщить, знает ли он о каком-либо стороннем доступе к разоблаченным данным или о том, обладает ли у компании технические способности, такие как журналы доступа, чтобы определить, был ли какой-либо неправильный доступ к его хранилищам данных.Пресс -секретарь процитировал неопределенные соображения безопасности.
На прошлой неделе,TechCrunch исключительно сообщил, что дочерняя компания Hyundai в Индии исправила ошибку это выявило личную информацию его клиентов, включая имена, почтовые адреса, адреса электронной почты и номера телефонов Hyundai Клиенты Motor India, которые обслуживали свои транспортные средства на станциях, принадлежащих Hyundai по всей Индии.
