Yanlışlıkla Yayınlanmış Bir Parola Nasıl Maruz Kaldı Mercedes-Benz Kaynak Kodu
Artı 'bulut erişim anahtarları, planlar, tasarım belgeleri, şifreler, API anahtarları ...'
Mercedes-Benz Güvenlik araştırma firmasına göre, şirketin kaynak koduna “sınırsız erişim” veren özel bir anahtardan ayrıldıktan sonra yanlışlıkla bir dahili veri ortaya çıkardı.
Redhunt Labs'ın kurucu ortağı ve baş teknoloji sorumlusu Shubham Mittal uyarıldı TechCrunch maruz kalmaya ve araba üreticisine açıklama konusunda yardım istedi.Londra merkezli siber güvenlik şirketi, Mercedes Ocak ayında rutin bir İnternet taraması sırasında çalışanların genel bir GitHub deposunda kimlik doğrulama jetonu.
Mittal'e göre, GitHub'a kimlik doğrulaması için bir şifre kullanmanın bir alternatifi olan bu jeton, herkese Mercedes’in GitHub Enterprise sunucusuna tam erişim sağlayabilir ve böylece şirketin özel kaynak kodu depolarının indirilmesine izin verebilir.
Mittal, “Github jetonu dahili GitHub Enterprise Server'da barındırılan tüm kaynak koduna" sınırsız "ve" işlenmemiş "erişim verdi," diye açıkladı Mittal TechCrunch tarafından paylaşılan bir raporda.“Depolar arasında büyük miktarda fikri mülkiyet var ... bağlantı dizeleri, bulut erişim tuşları, planlar, tasarım belgeleri, [tek oturum açma] şifreler, API anahtarları ve diğer kritik dahili bilgiler.”
Mittal, TechCrunch'a maruz kalan depoların Microsoft'u içerdiğine dair kanıtlar sağladı Azure ve Amazon Web Services (AWS) anahtarları, bir Postgres Veritabanı ve Mercedes kaynak kodu.Depolar içinde herhangi bir müşteri verisinin bulunduğu bilinmemektedir.
TechCrunch, güvenlik sorununu Pazartesi günü Mercedes'e açıkladı.Çarşamba günü, Mercedes sözcüsü Katja Liesenfeld, şirketin “ilgili API jetonunu iptal ettiğini ve halka açık depoyu hemen kaldırdığını” doğruladı.
Liesenfeld, TechCrunch'a yaptığı açıklamada, “Dahili kaynak kodunun halka açık bir GitHub deposunda insan hatası ile yayınlandığını doğrulayabiliriz,” dedi.“Kuruluşumuzun, ürünlerimizin ve hizmetlerimizin güvenliği en önemli önceliklerimizden biridir.”
“Bu vakayı normal süreçlerimize göre analiz etmeye devam edeceğiz.Buna bağlı olarak iyileştirici önlemler uyguluyoruz ”diye ekledi Liesenfeld.
Mittal dışında başka birinin Eylül 2023'te yayınlanan açıkta kalan anahtarı keşfedip keşfetmediği bilinmiyor.
Mercedes, maruz kalan verilere herhangi bir üçüncü taraf erişimin farkında olup olmadığını veya veri depolarına uygunsuz bir erişim olup olmadığını belirlemek için şirketin erişim günlükleri gibi teknik yeteneğe sahip olup olmadığını söylemeyi reddetti.Sözcüsü belirtilmemiş güvenlik nedenlerini belirtti.
Geçen hafta,TechCrunch sadece Hyundai’nin Hindistan iştiraki bir hata düzelttiğini bildirdi adlar, posta adresleri, e -posta adresleri ve telefon numaraları dahil olmak üzere müşterilerinin kişisel bilgilerini ortaya çıkaran Hyundai Araçlarını Hindistan'daki Hyundai'ye ait istasyonlarda servis eden Motor Hindistan müşterileri.
