Mercedes раскрыл конфиденциальную информацию

Исследователи безопасности обнаружили в открытом доступе токен аутентификации, который открывал доступ к конфиденциальной информации автопроизводителя Mercedes-Benz. Третьи лица могли получить исходный код и другую конфиденциальную информацию.

Британская киберфирма RedHunt в процессе планового сканирования интернет-ресурсов в январе 2024 г. обнаружила в открытом доступе токен аутентификации сотрудника компании Mercedes. Технический директор RedHunt Шубхам Миттал (Shubham Mittal) сообщил журналистам Techcrunch, что токен находился в открытом репозитории GitHub Enterprise Server, принадлежащем немецкому автоконцерну. По словам Миттала, такой токен — альтернатива использованию пароля для доступа в Github.

Открытые репозитории хранили большое количество информации, относящейся к интеллектуальной собственности Mercedes, включая чертежи, проектную документацию, пароли, ключи API и другие конфиденциальные данные.
Миттал привел журналистам доказательства того, что в скомпрометированных репозиториях находились ключи от облачных сервисов Microsoft Azure и Amazon, от СУБД Postgres, а также исходный код компании Mercedes.

Репортеры Techcrunch в понедельник, 22 января, сообщили о проблеме информационной безопасности в компанию Mercedes. В среду, 24 января, представитель Mercedes Катя Лизенфельд (Katja Liesenfeld) сообщила, что компании удалось отозвать соответствующий токен API и немедленно закрыть доступ к открытому репозиторию. По словам Лизенфельд, исходный код машиностроителей оказался в открытом доступе в результате человеческой ошибки.

Токен аутентификации находился в незащищенном репозитории более трех месяцев. В Mercedes отказались сообщить, удалось ли кому-либо обнаружить этот ключ кому-либо, кроме Миттала.

Источник: TechCrunch