Mercedes-Benz je slučajno razotkrio gomilu internih podataka nakon što je ostavio privatni ključ na mreži koji je davao “neograničen pristup” izvornom kodu kompanije, prema kompaniji za istraživanje sigurnosti koja ga je otkrila.
Shubham Mittal, suosnivač i glavni tehnološki direktor RedHunt Labsa, upozorio je TechCrunch na izloženost i zatražio pomoć u otkrivanju podataka proizvođaču automobila. Kompanija za sajber bezbjednost sa sjedištem u Londonu rekla je da je otkrila token za autentifikaciju zaposlenika Mercedesa u javnom GitHub repozitorijumu tokom rutinskog skeniranja interneta u januaru.
Prema Mittal-u, ovaj token — alternativa korišćenju lozinke za autentifikaciju na GitHub — mogao bi svakome dati potpuni pristup Mercedesovom GitHub Enterprise Serveru, čime bi se omogućilo preuzimanje privatnih repozitorija izvornog koda kompanije.
“GitHub token je dao ‘neograničen’ i ‘nenadgledani’ pristup cijelom izvornom kodu koji se nalazi na internom GitHub Enterprise Serveru,” objasnio je Mittal u izvještaju koji je podijelio TechCrunch. “Repozitorijumi uključuju veliku količinu intelektualnog vlasništva… nizove veze, ključeve za pristup oblaku, nacrte, dokumente dizajna, lozinke [jedinstvene prijave], API ključeve i druge kritične interne informacije.”
Mittal je TechCrunch-u dostavio dokaze da izložena spremišta sadrže ključeve Microsoft Azure i Amazon Web Services (AWS), Postgres baze podataka i Mercedes izvorni kod. Nije poznato da li su neki podaci o klijentima bili sadržani u spremištima.
TechCrunch je Mercedesu u ponedjeljak otkrio sigurnosni problem. U srijedu je glasnogovornica Mercedesa Katja Liesenfeld potvrdila da je kompanija “povukla odgovarajući API token i odmah uklonila javni repozitorij”.
„Možemo potvrditi da je interni izvorni kod objavljen na javnom GitHub repozitoriju ljudskom greškom“, rekao je Liesenfeld u izjavi za TechCrunch. “Sigurnost naše organizacije, proizvoda i usluga jedan je od naših glavnih prioriteta.”
“Nastavit ćemo analizirati ovaj slučaj prema našim uobičajenim procesima. U zavisnosti od toga, sprovodimo korektivne mjere”, dodao je Lisenfeld.
Nije poznato da li je još neko osim Mitala otkrio izloženi ključ, koji je objavljen krajem septembra 2023.
Mercedes je odbio reći da li je svjestan bilo kakvog pristupa treće strane izloženim podacima ili da li kompanija ima tehničku mogućnost, poput evidencije pristupa, da utvrdi da li je bilo bilo kakvog neprikladnog pristupa spremištima podataka. Portparol je naveo neutvrđene bezbjednosne razloge.
Prošle sedmice, TechCrunch je ekskluzivno izvijestio da je Hyundaijeva podružnica u Indiji ispravila grešku koja je otkrila lične podatke njegovih kupaca, uključujući imena, poštanske adrese, adrese e-pošte i telefonske brojeve kupaca Hyundai Motor India, čiji su vozila servisirana na stanicama u vlasništvu Hyundaija širom Indija.
Izvor: TechCrunch