近日，RedHunt 實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)，梅賽德斯-奔馳無意中留下了可在線訪問的私鑰，從而暴露了內(nèi)部數(shù)據(jù)，包括公司的源代碼。目前尚不清楚數(shù)據(jù)泄露是否暴露了客戶數(shù)據(jù)。

RedHunt Labs 與 TechCrunch 分享了其調(diào)查結(jié)果，并在媒體的幫助下通知了汽車制造商。該安全公司發(fā)現(xiàn)，屬于梅賽德斯員工的身份驗(yàn)證令牌暴露在公共 GitHub 存儲庫中。這一發(fā)現(xiàn)是在一月份的例行互聯(lián)網(wǎng)掃描中發(fā)現(xiàn)的。

所披露的令牌有可能提供對梅賽德斯 GitHub Enterprise Server 的不受限制的訪問，使任何人都可以檢索該公司的私有源代碼存儲庫。

RedHunt Labs 聯(lián)合創(chuàng)始人兼首席技術(shù)官 Shubham Mittal 告訴 TechCrunch：“GitHub 令牌可以‘不受限制’和‘不受監(jiān)控’地訪問托管在內(nèi)部 GitHub Enterprise Server 上的整個(gè)源代碼。這些存儲庫包含大量知識產(chǎn)權(quán)……連接字符串、云訪問密鑰、藍(lán)圖、設(shè)計(jì)文檔、[單點(diǎn)登錄]密碼、API 密鑰和其他關(guān)鍵內(nèi)部信息?！?/p>

米塔爾向 TechCrunch 提供了證據(jù)，驗(yàn)證 Microsoft Azure 和 Amazon Web Services (AWS) 憑證、Postgres 數(shù)據(jù)庫以及 Mercedes 源代碼的存在

暴露的存儲庫包括 Microsoft Azure 和 Amazon Web Services (AWS) 憑證、Postgres 數(shù)據(jù)庫和 Mercedes 源代碼。

一旦梅賽德斯意識到數(shù)據(jù)泄露，它就撤銷了暴露的令牌并刪除了公共存儲庫。

TechCrunch 周一向梅賽德斯披露了這一安全問題。周三，梅賽德斯發(fā)言人 Katja Liesenfeld 證實(shí)，該公司“立即撤銷了相應(yīng)的 API 令牌并刪除了公共存儲庫”。

梅賽德斯發(fā)言人 Katja Liesenfeld 告訴 TechCrunch：“我們可以確認(rèn)內(nèi)部源代碼是由于人為錯誤而發(fā)布在公共 GitHub 存儲庫上的?！?“我們的組織、產(chǎn)品和服務(wù)的安全是我們的首要任務(wù)之一?！?“我們將繼續(xù)按照正常流程分析此案。我們將據(jù)此采取補(bǔ)救措施。”

對此次泄露事件的調(diào)查顯示，自2023年9月下旬以來一直在網(wǎng)上曝光。然而，目前尚不清楚其他參與者是否未經(jīng)授權(quán)訪問了該汽車制造商的數(shù)據(jù)。

梅賽德斯拒絕透露是否知道任何第三方訪問了暴露的數(shù)據(jù)，或者該公司是否擁有技術(shù)能力（例如訪問日志）來確定是否存在對其數(shù)據(jù)存儲庫的任何不當(dāng)訪問。發(fā)言人援引了未具體說明的安全原因。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時(shí)與我們聯(lián)系，我們會在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明