รหัสผ่านที่เผยแพร่อย่างผิดพลาดเปิดเผยซอร์สโค้ด Mercedes-Benz

บวก 'คีย์การเข้าถึงคลาวด์พิมพ์เขียวเอกสารการออกแบบรหัสผ่านปุ่ม API ... '

เมอร์เซเดส-เบนซ์ เปิดเผยข้อมูลภายในโดยไม่ตั้งใจหลังจากออกจากคีย์ส่วนตัวออนไลน์ที่ให้ "การเข้าถึงที่ไม่ จำกัด " กับซอร์สโค้ดของ บริษัท ตาม บริษัท วิจัยความปลอดภัยที่ค้นพบ

Shubham Mittal ผู้ร่วมก่อตั้งและหัวหน้าเจ้าหน้าที่เทคโนโลยีของ Redhunt Labs แจ้งเตือน techcrunch เพื่อรับแสงและขอความช่วยเหลือในการเปิดเผยต่อผู้ผลิตรถยนต์บริษัท รักษาความปลอดภัยทางไซเบอร์ในลอนดอนกล่าวว่าได้ค้นพบก เมอร์เซเดส โทเค็นการรับรองความถูกต้องของพนักงานในพื้นที่เก็บข้อมูลสาธารณะ GitHub ในระหว่างการสแกนอินเทอร์เน็ตเป็นประจำในเดือนมกราคม

ตามที่ Mittal โทเค็นนี้เป็นทางเลือกในการใช้รหัสผ่านสำหรับการตรวจสอบความถูกต้องของ GitHub - สามารถให้ทุกคนที่เข้าถึงเซิร์ฟเวอร์ GitHub Enterprise ของ Mercedes ได้อย่างเต็มที่ดังนั้นจึงอนุญาตให้ดาวน์โหลดที่เก็บซอร์สโค้ดส่วนตัวของ บริษัท ได้

“ โทเค็น GitHub ให้ 'การเข้าถึง' ไม่ จำกัด 'และ' ไม่ได้รับการตรวจสอบ 'ไปยังซอร์สโค้ดทั้งหมดที่โฮสต์ที่เซิร์ฟเวอร์ GitHub Enterprise ภายใน” Mittal อธิบายในรายงานที่แชร์โดย TechCrunch“ ที่เก็บรวมถึงทรัพย์สินทางปัญญาจำนวนมาก ... สตริงการเชื่อมต่อคีย์การเข้าถึงคลาวด์พิมพ์เขียวเอกสารการออกแบบรหัสผ่าน [การลงชื่อเข้าใช้เดียว] คีย์ API และข้อมูลภายในที่สำคัญอื่น ๆ ”

Mittal ให้ TechCrunch มีหลักฐานว่าที่เก็บที่เปิดเผยมี Microsoft สีฟ้า และคีย์ Amazon Web Services (AWS) ฐานข้อมูล Postgres และ Mercedes Source Sourceไม่ทราบว่ามีข้อมูลลูกค้าใด ๆ อยู่ในที่เก็บหรือไม่

TechCrunch เปิดเผยปัญหาความปลอดภัยแก่ Mercedes ในวันจันทร์เมื่อวันพุธที่ผ่านมาโฆษกของ Mercedes Katja Liesenfeld ยืนยันว่า บริษัท “ เพิกถอนโทเค็น API ที่เกี่ยวข้องและลบที่เก็บสาธารณะทันที”

“ เราสามารถยืนยันได้ว่าซอร์สโค้ดภายในได้รับการเผยแพร่ในที่เก็บ GitHub สาธารณะโดยข้อผิดพลาดของมนุษย์” Liesenfeld กล่าวในแถลงการณ์ถึง TechCrunch“ ความปลอดภัยขององค์กรผลิตภัณฑ์และบริการของเราเป็นหนึ่งในความสำคัญสูงสุดของเรา”

“ เราจะวิเคราะห์กรณีนี้ต่อไปตามกระบวนการปกติของเราขึ้นอยู่กับสิ่งนี้เราใช้มาตรการแก้ไข” Liesenfeld กล่าวเสริม

ไม่มีใครรู้ว่ามีใครอื่นนอกเหนือจาก Mittal ค้นพบคีย์ที่เปิดเผยซึ่งตีพิมพ์ในช่วงปลายเดือนกันยายน 2566

เมอร์เซเดสปฏิเสธที่จะบอกว่าได้รับทราบถึงการเข้าถึงข้อมูลที่เปิดเผยของบุคคลที่สามหรือว่า บริษัท มีความสามารถทางเทคนิคเช่นบันทึกการเข้าถึงเพื่อพิจารณาว่ามีการเข้าถึงที่เก็บข้อมูลที่ไม่เหมาะสมหรือไม่โฆษกอ้างถึงเหตุผลด้านความปลอดภัยที่ไม่ระบุ

อาทิตย์ที่แล้ว,TechCrunch รายงานโดยเฉพาะว่า บริษัท ในเครือของ Hyundai ของอินเดียได้แก้ไขข้อผิดพลาด ที่เปิดเผยข้อมูลส่วนบุคคลของลูกค้ารวมถึงชื่อที่อยู่ทางไปรษณีย์ที่อยู่อีเมลและหมายเลขโทรศัพท์ของ ฮุนได ลูกค้า Motor India ที่ให้บริการยานพาหนะที่สถานีที่เป็นเจ้าของฮุนไดทั่วอินเดีย