奔驰源代码意外泄露,暴露内部敏感数据
2024-1-31 10:38:26 Author: www.freebuf.com(查看原文) 阅读量:15 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

1706668163_65b9b083c6ababe14323c.png!small

近日,RedHunt 实验室的研究人员发现,梅赛德斯-奔驰无意中留下了可在线访问的私钥,暴露了内部数据,包括公司的源代码。目前尚不清楚数据泄露是否暴露了客户数据。

梅赛德斯-奔驰(Mercedes-Benz)是德国著名的汽车、公共汽车和卡车制造商,以其丰富的创新历史、奢华的设计和一流的制造质量而闻名于世。

与许多现代汽车制造商一样,奔驰在其车辆和服务中使用了包括包括安全和控制系统、信息娱乐、自动驾驶、诊断和维护工具、连接和远程信息处理,以及电力和电池管理(电动汽车)等软件工具。

2023 年 9 月 29 日,RedHunt Labs 的研究人员在一个属于 Mercedez 员工的公共仓库中发现了一个 GitHub 令牌,该令牌可以访问公司内部的 GitHub 企业服务器。RedHunt Labs 在公告中写道:GitHub 令牌允许'不受限制'和'不受监控'地访问托管在内部 GitHub 企业服务器上的全部源代码。

该事件导致存放大量知识产权的敏感存储库数据泄露。其中,被泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他敏感内部信息。

源代码泄露可能会导致竞争对手对专有技术进行逆向工程,黑客很可能通过这种方式发现汽车系统中的潜在漏洞。

此外,API 密钥暴露可能会导致未经授权的数据访问、服务中断以及出于恶意目的滥用公司的基础设施。

RedHunt 实验室还提到,如果被暴露的存储库中包含客户数据,则有可能触犯法律,比如违反 GDPR。不过,研究人员尚未验证被暴露文件的内容。

RedHunt 在 TechCrunch 的帮助下,于 2024 年 1 月 22 日向梅赛德斯-奔驰通报了令牌泄露事件,并在两天后撤销了该令牌,阻止了所有持有和滥用令牌者的非法访问。

这次事件有点类似 2022 年 10 月发生的丰田汽车安全事故。当时丰田披露,由于 GitHub 访问密钥被暴露,客户个人信息在长达五年的时间里仍可被公开访问。

只有当 GitHub 的所有者激活了审计日志,通常包括 IP 地址,才会产生恶意利用的实质性证据。

关于此次事件,梅赛德斯-奔驰公司的具体回复如下:

目前可以确认的是由于人为错误,奔驰的内部访问令牌的源代码被发布到了 GitHub 公共仓库上。

并且该令牌允许外部人员访问一定数量的仓库,但不能访问托管在内部 GitHub 企业服务器上的全部源代码。现已撤销了相应的令牌,并立即删除了公共存储库,所以目前客户数据未受影响。- 梅赛德斯-奔驰

出于安全原因,梅赛德斯奔驰方面表示并不想分享该事件的技术细节,因此目前还不清楚他们是否检测到了未经授权的访问。此外,该公司还表示,他们愿意与全球研究人员合作,并通过漏洞披露计划接受安全报告。

参考来源:A mishandled GitHub token exposed Mercedes-Benz source code (bleepingcomputer.com)


文章来源: https://www.freebuf.com/news/391047.html
如有侵权请联系:admin#unsafe.sh