A Mercedes-Benz véletlenül kiszivárogtatott egy nagy mennyiségű belső adatot, miután egy privát kulcsot hagyott online, amely "korlátlan hozzáférést" biztosított a cég forráskódjához - állítja a felfedező biztonsági kutatócég.
Shubham Mittal, a RedHunt Labs társalapítója és technológiai igazgatója értesítette a TechCrunch-ot a kiszivárogtatásról, és segítséget kért a gyártó tájékoztatásában. A londoni kiberbiztonsági cég szerint a Mercedes egyik alkalmazottjának hitelesítő tokenjét találták meg egy nyilvános GitHub tárolóban egy januári rutin internetes szkennelés során.
Mittal szerint ez a token - amely egy alternatíva a GitHub hitelesítéshez használt jelszó helyett - bárkinek teljes hozzáférést biztosíthatott a Mercedes GitHub Enterprise Serverhez, így lehetővé téve a vállalat privát forráskód tárolóinak letöltését.
"A GitHub token 'korlátlan' és 'nem ellenőrzött' hozzáférést biztosított az egész forráskódhoz, ami a belső GitHub Enterprise Serveren volt tárolva" - magyarázta Mittal. "A tárolók jelentős mennyiségű szellemi tulajdont tartalmaznak... kapcsolódási karakterláncokat, felhő-hozzáférési kulcsokat, tervrajzokat, terveket, egyszeri bejelentkezési jelszavakat, API kulcsokat és egyéb kritikus belső információkat."
Mittal bizonyítékokat szolgáltatott a TechCrunch-nak, hogy a kiszivárogtatott tárolók Microsoft Azure és Amazon Web Services (AWS) kulcsokat, egy Postgres adatbázist és Mercedes forráskódot tartalmaztak. Nem tudni, hogy a tárolók tartalmaztak-e ügyféladatokat.
A TechCrunch hétfőn tájékoztatta a Mercedest a biztonsági problémáról. Szerdán a Mercedes szóvivője, Liesenfeld Katja megerősítette, hogy a cég "visszavonta a megfelelő API tokent, és azonnal eltávolította a nyilvános tárolót."
"Megerősíthetjük, hogy belső forráskód került közzétételre egy nyilvános GitHub tárolóban emberi hibából eredően" - mondta Liesenfeld. "Szervezetünk, termékeink és szolgáltatásaink biztonsága az egyik legfontosabb prioritásunk. Vizsgálni fogjuk ezt az esetet a normál folyamatainknak megfelelően. Ennek függvényében végrehajtjuk a helyreállító intézkedéseket."
Nem tudni, hogy Mittalon kívül valaki más felfedezte-e a kiszivárgott kulcsot, amelyet 2023 szeptember végén tettek közzé.
A Mercedes nem mondta el, hogy tud-e a kiszivárgott adatokhoz való esetleges harmadik fél hozzáférésről, vagy hogy a cég rendelkezik-e technikai lehetőségekkel, például hozzáférési naplókkal, hogy megállapítsa, történt-e illetéktelen hozzáférés az adattárolóihoz. A szóvivő biztonsági okokra hivatkozott.