Mercedes-Benz випадково розкрила базу внутрішніх даних, залишивши в мережі приватний ключ, який надавав «необмежений доступ» до вихідного коду компанії
Mercedes-Benz Фото: group.mercedes-benz.com
Про це повідомила лондонська компанія з кібербезпеки RedHunt Labs, пише TechCrunch.
Шубхам Міттал, співзасновник і технічний директор RedHunt Labs, виявив токен автентифікації співробітника Mercedes у публічному репозиторії GitHub під час рутинного сканування інтернету в січні.
За словами Міттала, цей токен — альтернатива використанню пароля для автентифікації на GitHub — міг надати будь-кому повний доступ до корпоративного сервера GitHub Enterprise Server компанії Mercedes, що потенційно могло призвести до витоку критично важливої внутрішньої інформації.
«Токен GitHub надавав необмежений і неконтрольований доступ до всього вихідного коду, розміщеного на внутрішньому сервері GitHub Enterprise Server, — пояснив Міттал у звіті. — Сховища містять велику кількість інтелектуальної власності… рядки з’єднань, ключі доступу до хмари, креслення, проєктні документи, паролі [єдиного входу], ключі API та іншу важливу внутрішню інформацію».
Цікаве по темі: Автомобілі BMW збиратимуть роботи-гуманоїди
У середу прес-секретар Mercedes Катя Лізенфельд (Katja Liesenfeld) підтвердила, що компанія відкликала відповідний токен API і негайно видалила публічний репозиторій.
«Ми можемо підтвердити, що внутрішній вихідний код був опублікований в публічному репозиторії GitHub через людську помилку, — сказала Лізенфельд. — Безпека нашої організації, продуктів і послуг є одним з наших головних пріоритетів. Ми продовжимо аналізувати цей випадок відповідно до наших звичайних процесів. Залежно від цього, ми впроваджуємо коригувальні заходи».
Невідомо, чи виявив хтось ще, крім Міттала, відкритий ключ, який був опублікований наприкінці вересня 2023 року.
У Mercedes відмовилися повідомити, чи відомо їм про доступ третіх осіб до викритих даних і чи має компанія технічну можливість, наприклад, за допомогою журналів доступу, визначити, чи мав місце неналежний доступ до її сховищ даних.
Раніше ми писали, що власники автомобілів Mercedes тепер можуть здійснювати платежі по відбитку пальця.
Ознайомтеся з іншими популярними матеріалами:
Apple анонсувала запуск нового CarPlay: які він має переваги
Хакер Mt.Gox увійшов до списку 1000 найзаможніших людей світу
Для українців пропонують ввести «податок на розкіш» — бюджетний комітет Ради
