Mercedes-Benz slučajno podijelio svoj izvorni kod i poslovne tajne s cijelim svijetom
Mercedes-Benz se suočio sa značajnim bezbjednosnim propustom nakon što je otkriveno da je slučajno podijelio svoj izvorni kod i poslovne tajne sa cijelim svijetom. Propust je otkrila britanska kompanija za bezbjednost RedHunt Labs, koja je pronašla token za autentifikaciju zaposlenog u Mercedes-Benzu na javnom GitHub repozitoriju. Ovaj token je omogućavao “neograničen pristup” poslovnim tajnama i drugim ključnim podacima za autentifikaciju njemačkog automobilskog giganta.
Velike količine podataka
RedHunt je identifikovao izloženi token za autentifikaciju tokom rutinskog skeniranja interneta u januaru, iako je token objavljen još u septembru 2023. godine. Korištenjem privatnog ključa zlonamjerni akteri ili cyber kriminalci mogli su da dobiju potpuni pristup GitHub Enterprise Serveru koji pripada Mercedes-Benzu, gdje su skladištene velike količine osjetljivih podataka, piše Telegraf.rs.
Token je omogućio “neograničen” i “nenadgledan” pristup velikoj količini intelektualne svojine Mercedes-Benza, uključujući nacrte, dizajnerske dokumente i druge “kritične” interne informacije. Server je također hostovao ključeve za pristup oblaku, API ključeve i dodatne lozinke, što je moglo biti iskorišteno za narušavanje cjelokupne IT infrastrukture proizvođača automobila, stvarajući bezprecedentnu i haotičnu situaciju.
Osim toga, otkriveno je da su nezaštićeni repozitoriju izložili ključeve za Microsoft Azure i Amazon Web Services (AWS) servere, Postgres bazu podataka, pa čak i izvorni kod softvera Mercedes-Benza. Prema riječima istraživača, na pogođenim serverima nisu bili hostovani podaci o kupcima, piše TechSpot.
Interna istraga
RedHunt je o ovom bezbjednosnom incidentu obavijestio TechCrunch, koji je potom obavijestio Mercedes-Benz. Portparol njemačke kompanije potvrdio je da je neograničeni API token opozvan, a javni repozitorij je “odmah” uklonjen.
Izvorni token kod unutrašnjih sistema kompanije je nenamjerno objavljen na javnom GitHub serveru zbog ljudske greške, rekao je portparol. Interna istraga je i dalje u toku, a bit će provedene i dodatne “korektivne mjere”.
Iako je token bio izložen javnom pristupu mjesecima, do sada nema dokaza da su zlonamjerni akteri ili cyber kriminalci otkrili i zloupotrijebili tajnu kako bi kompromitovali poslovanje Mercedes-Benza. Kompanija nije potvrdila da li je bila u mogućnosti da detektuje nepoznate pokušaje pristupa svojim sistemima putem pristupnih zapisa ili drugih bezbjednosnih mjera.
Preuzmite mobilnu aplikaciju 072info za Android: KLIKNI OVDJE
Preuzmite mobilnu aplikaciju 072info za iOS: KLIKNI OVDJE
POVEZANE OBJAVE