Новости Исходные коды Mercedes-Benz утекли из-за случайно раскрытого токена GitHub

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.337
Репутация
11.800
Реакции
62.022
RUB
50
Исследователи из RedHunt Labs в публичном репозитории забытый токен GitHub, принадлежащий сотруднику Mercedes-Benz.


Токен давал доступ к серверу GitHub Enterprise компании и раскрывал множество внутренних данных.

Как и многие автопроизводители, Mercedes-Benz использует различный софт в своих автомобилях и сервисах, включая системы безопасности и контроля, инфотейнмент-системы, системы автономного вождения, диагностические и сервисные инструменты, системы для работы связи и телематики, а также системы для управления электропитанием и аккумуляторами (для электромобилей).

3683921_1200px.jpg


Специалисты RedHunt Labs рассказывают, что токен попал в открытый доступ еще 29 сентября 2023 года.

«Токен GitHub предоставлял неограниченный и неконтролируемый доступ ко всему исходному коду, размещенному на внутреннем сервере GitHub Enterprise, — пишут эксперты в отчете. — В результате инцидента стали доступны конфиденциальные репозитории, содержащие огромное количество интеллектуальной собственности компании. Так, скомпрометированная информация включала строки для подключения к базам данных, ключи доступа к облаку, чертежи, проектную документацию, пароли SSO, ключи API и другую важную внутреннюю информацию».

Исследователи объясняют, что утечка таких данных может иметь серьезные последствия. Например, может привести к тому, что конкуренты займутся реверс-инжинирингом запатентованных технологий, а хакеры будут тщательно изучать код в поисках потенциальных уязвимостей в автомобильных системах.

Кроме того, утечка ключей API может привести к несанкционированному доступу к данным, нарушению работы сервисов и использованию инфраструктуры компании с вредоносными целями.

RedHunt Labs, при содействии журналистов издания , уведомила Mercedes-Benz об утечке токена 22 января 2024 года, а через два дня компания отозвала его, заблокировав доступ всем, кто мог им злоупотреблять.

Неизвестно, содержались ли в репозиториях какие-то данные о клиентах компании. Пока автопроизводитель подтвердил, что «исходный код, содержащий токен доступа, был опубликован в публичном репозитории GitHub в результате человеческой ошибки». Но компания сообщает, что не может делиться каким-либо техническими подробностями инцидента из соображений безопасности, поэтому пока неясно, успели ли третьи лица получить несанкционированный доступ к данным компании, пока токен был доступен всем желающим.


 
Надеюсь, у нас успели воспользоваться исходниками и теперь снова можно делать калибровку колодок
 
  • Теги
    github mercedes-benz
  • Сверху Снизу