Hvordan en fejlagtig offentliggjort adgangskode afslørede Mercedes-Benz kildekode – Autoblog

Mercedes-Benz ved et uheld afslørede en masse interne data efter at have efterladt en privat nøgle online, der gav "ubegrænset adgang" til virksomhedens kildekode, ifølge sikkerhedsundersøgelsesfirmaet, der opdagede det.

Shubham Mittal, medstifter og teknologichef for RedHunt Labs, advarede TechCrunch til eksponeringen og bad om hjælp til at oplyse bilproducenten. Det London-baserede cybersikkerhedsfirma sagde, at det opdagede en Mercedes medarbejders autentificeringstoken i et offentligt GitHub-lager under en rutinemæssig internetscanning i januar.

Ifølge Mittal kunne dette token - et alternativ til at bruge en adgangskode til godkendelse til GitHub - give enhver fuld adgang til Mercedes's GitHub Enterprise Server og dermed tillade download af virksomhedens private kildekodedepoter.

"GitHub-tokenet gav 'ubegrænset' og 'uovervåget' adgang til hele kildekoden hostet på den interne GitHub Enterprise Server," forklarede Mittal i en rapport delt af TechCrunch. "Depoterne inkluderer en stor mængde intellektuel ejendomsret ... forbindelsesstrenge, cloud-adgangsnøgler, tegninger, designdokumenter, adgangskoder til [single sign-on], API-nøgler og anden kritisk intern information."

Mittal forsynede TechCrunch med beviser for, at de afslørede depoter indeholdt Microsoft Azure og Amazon Web Services-nøgler (AWS), en Postgres-database og Mercedes-kildekode. Det vides ikke, om nogen kundedata var indeholdt i lagrene.

TechCrunch afslørede sikkerhedsproblemet til Mercedes i mandags. Onsdag bekræftede Mercedes-talsmand Katja Liesenfeld, at virksomheden "tilbagekaldte det respektive API-token og fjernede det offentlige lager med det samme."

"Vi kan bekræfte, at intern kildekode blev offentliggjort på et offentligt GitHub-lager ved menneskelige fejl," sagde Liesenfeld i en erklæring til TechCrunch. "Sikkerheden i vores organisation, produkter og tjenester er en af ​​vores topprioriteter."

"Vi vil fortsætte med at analysere denne sag i henhold til vores normale processer. Afhængigt af dette implementerer vi afhjælpende foranstaltninger,” tilføjede Liesenfeld.

Det vides ikke, om andre end Mittal opdagede den blotlagte nøgle, som blev offentliggjort i slutningen af ​​september 2023.

Mercedes afviste at sige, om det er bekendt med tredjepartsadgang til de eksponerede data, eller om virksomheden har den tekniske evne, såsom adgangslogfiler, til at afgøre, om der var nogen uretmæssig adgang til dets datalagre. Talsmanden nævnte uspecificerede sikkerhedsmæssige årsager.

I sidste uge,TechCrunch rapporterede udelukkende, at Hyundais datterselskab i Indien rettede en fejl som afslørede sine kunders personlige oplysninger, herunder navne, postadresser, e-mailadresser og telefonnumre på Hyundai Motor India-kunder, som fik serviceret deres køretøjer på Hyundai-ejede stationer i hele Indien.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.autoblog.com/2024/01/28/how-a-mistakenly-published-password-exposed-mercedes-benz-source-code/