Исследователи из RedHunt Labs
в публичном репозитории забытый токен GitHub, принадлежащий сотруднику Mercedes-Benz.
Токен давал доступ к серверу GitHub Enterprise компании и раскрывал множество внутренних данных.
Как и многие автопроизводители, Mercedes-Benz использует различный софт в своих автомобилях и сервисах, включая системы безопасности и контроля, инфотейнмент-системы, системы автономного вождения, диагностические и сервисные инструменты, системы для работы связи и телематики, а также системы для управления электропитанием и аккумуляторами (для электромобилей).
Специалисты RedHunt Labs рассказывают, что токен попал в открытый доступ еще 29 сентября 2023 года.
Исследователи объясняют, что утечка таких данных может иметь серьезные последствия. Например, может привести к тому, что конкуренты займутся реверс-инжинирингом запатентованных технологий, а хакеры будут тщательно изучать код в поисках потенциальных уязвимостей в автомобильных системах.
Кроме того, утечка ключей API может привести к несанкционированному доступу к данным, нарушению работы сервисов и использованию инфраструктуры компании с вредоносными целями.
RedHunt Labs, при содействии журналистов издания , уведомила Mercedes-Benz об утечке токена 22 января 2024 года, а через два дня компания отозвала его, заблокировав доступ всем, кто мог им злоупотреблять.
Неизвестно, содержались ли в репозиториях какие-то данные о клиентах компании. Пока автопроизводитель подтвердил, что «исходный код, содержащий токен доступа, был опубликован в публичном репозитории GitHub в результате человеческой ошибки». Но компания сообщает, что не может делиться каким-либо техническими подробностями инцидента из соображений безопасности, поэтому пока неясно, успели ли третьи лица получить несанкционированный доступ к данным компании, пока токен был доступен всем желающим.
Токен давал доступ к серверу GitHub Enterprise компании и раскрывал множество внутренних данных.
Как и многие автопроизводители, Mercedes-Benz использует различный софт в своих автомобилях и сервисах, включая системы безопасности и контроля, инфотейнмент-системы, системы автономного вождения, диагностические и сервисные инструменты, системы для работы связи и телематики, а также системы для управления электропитанием и аккумуляторами (для электромобилей).
Специалисты RedHunt Labs рассказывают, что токен попал в открытый доступ еще 29 сентября 2023 года.
Исследователи объясняют, что утечка таких данных может иметь серьезные последствия. Например, может привести к тому, что конкуренты займутся реверс-инжинирингом запатентованных технологий, а хакеры будут тщательно изучать код в поисках потенциальных уязвимостей в автомобильных системах.
Кроме того, утечка ключей API может привести к несанкционированному доступу к данным, нарушению работы сервисов и использованию инфраструктуры компании с вредоносными целями.
RedHunt Labs, при содействии журналистов издания , уведомила Mercedes-Benz об утечке токена 22 января 2024 года, а через два дня компания отозвала его, заблокировав доступ всем, кто мог им злоупотреблять.
Неизвестно, содержались ли в репозиториях какие-то данные о клиентах компании. Пока автопроизводитель подтвердил, что «исходный код, содержащий токен доступа, был опубликован в публичном репозитории GitHub в результате человеческой ошибки». Но компания сообщает, что не может делиться каким-либо техническими подробностями инцидента из соображений безопасности, поэтому пока неясно, успели ли третьи лица получить несанкционированный доступ к данным компании, пока токен был доступен всем желающим.
