摘 要
近日,RedHunt 实验室的研究人员发现,梅赛德斯-奔驰无意中留下了可在线访问的私钥,从而暴露了内部数据,包括公司的源代码。目前尚不清楚数据泄露是否暴露了客户数据。
RedHunt Labs 与 TechCrunch 分享了其调查结果,并在媒体的帮助下通知了汽车制造商。该安全公司发现,属于梅赛德斯员工的身份验证令牌暴露在公共 GitHub 存储库中。这一发现是在一月份的例行互联网扫描中发现的。
所披露的令牌有可能提供对梅赛德斯 GitHub Enterprise Server 的不受限制的访问,使任何人都可以检索该公司的私有源代码存储库。
RedHunt Labs 联合创始人兼首席技术官 Shubham Mittal 告诉 TechCrunch:“GitHub 令牌可以‘不受限制’和‘不受监控’地访问托管在内部 GitHub Enterprise Server 上的整个源代码。这些存储库包含大量知识产权……连接字符串、云访问密钥、蓝图、设计文档、[单点登录]密码、API 密钥和其他关键内部信息。”
米塔尔向 TechCrunch 提供了证据,验证 Microsoft Azure 和 Amazon Web Services (AWS) 凭证、Postgres 数据库以及 Mercedes 源代码的存在
暴露的存储库包括 Microsoft Azure 和 Amazon Web Services (AWS) 凭证、Postgres 数据库和 Mercedes 源代码。
一旦梅赛德斯意识到数据泄露,它就撤销了暴露的令牌并删除了公共存储库。
TechCrunch 周一向梅赛德斯披露了这一安全问题。周三,梅赛德斯发言人 Katja Liesenfeld 证实,该公司“立即撤销了相应的 API 令牌并删除了公共存储库”。
梅赛德斯发言人 Katja Liesenfeld 告诉 TechCrunch:“我们可以确认内部源代码是由于人为错误而发布在公共 GitHub 存储库上的。” “我们的组织、产品和服务的安全是我们的首要任务之一。” “我们将继续按照正常流程分析此案。我们将据此采取补救措施。”
对此次泄露事件的调查显示,自2023年9月下旬以来一直在网上曝光。然而,目前尚不清楚其他参与者是否未经授权访问了该汽车制造商的数据。
梅赛德斯拒绝透露是否知道任何第三方访问了暴露的数据,或者该公司是否拥有技术能力(例如访问日志)来确定是否存在对其数据存储库的任何不当访问。发言人援引了未具体说明的安全原因。
