Mercedes-Benz случайно раскрыла базу внутренних данных, оставив в сети приватный ключ, который предоставлял «неограниченный доступ» к исходному коду компании
Mercedes-Benz Фото: group.mercedes-benz.com
Об этом сообщила лондонская компания по кибербезопасности RedHunt Labs, пишет TechCrunch.
Шубхам Миттал, соучредитель и технический директор RedHunt Labs, обнаружил токен аутентификации сотрудника Mercedes в публичном репозитории GitHub во время рутинного сканирования интернета в январе.
По словам Миттала, этот токен — альтернатива использованию пароля для аутентификации на GitHub — мог предоставить любому полный доступ к корпоративному серверу GitHub Enterprise Server компании Mercedes, что потенциально могло привести к утечке критически важной внутренней информации.
«Токен GitHub предоставлял неограниченный и неконтролируемый доступ ко всему исходному коду, размещенному на внутреннем сервере GitHub Enterprise Server, — пояснил Миттал в отчете. — Хранилища содержат большое количество интеллектуальной собственности… строки соединений, ключи доступа к облаку, чертежи, проектные документы, пароли [единого входа], ключи API и другую важную внутреннюю информацию».
Интересное по теме: Автомобили BMW будут собирать роботы-гуманоиды
В среду пресс-секретарь Mercedes Катя Лизенфельд (Katja Liesenfeld) подтвердила, что компания отозвала соответствующий токен API и немедленно удалила публичный репозиторий.
«Мы можем подтвердить, что внутренний исходный код был опубликован в публичном репозитории GitHub из-за человеческой ошибки, — сказала Лизенфельд. — Безопасность нашей организации, продуктов и услуг является одним из наших главных приоритетов. Мы продолжим анализировать этот случай в соответствии с нашими обычными процессами. В зависимости от этого, мы внедряем корректирующие меры».
Неизвестно, обнаружил ли кто-то еще, кроме Миттала, открытый ключ, который был опубликован в конце сентября 2023 года.
В Mercedes отказались сообщить, известно ли им о доступе третьих лиц к разоблаченным данным и имеет ли компания техническую возможность, например, с помощью журналов доступа, определить, имел ли место ненадлежащий доступ к ее хранилищам данных.
Ранее мы писали, что владельцы автомобилей Mercedes теперь могут осуществлять платежи по отпечатку пальца.
Ознакомьтесь с другими популярными материалами:
Apple анонсировала запуск нового CarPlay: какие у него преимущества
Хакер Mt.Gox вошел в список 1000 наиболее состоятельных людей мира
Для украинцев предлагают ввести «налог на роскошь» — бюджетный комитет Рады
