近日,RedHunt 實驗室的研究人員發現,梅賽德斯-奔馳無意中留下了可在線訪問的私鑰,暴露了內部數據,包括公司的源代碼。目前尚不清楚數據泄露是否暴露了客戶數據。


梅賽德斯-奔馳(Mercedes-Benz)是德國著名的汽車、公共汽車和卡車制造商,以其豐富的創新歷史、奢華的設計和一流的制造質量而聞名于世。


與許多現代汽車制造商一樣,奔馳在其車輛和服務中使用了包括包括安全和控制系統、信息娛樂、自動駕駛、診斷和維護工具、連接和遠程信息處理,以及電力和電池管理(電動汽車)等軟件工具。


2023 年 9 月 29 日,RedHunt Labs 的研究人員在一個屬于 Mercedez 員工的公共倉庫中發現了一個 GitHub 令牌,該令牌可以訪問公司內部的 GitHub 企業服務器。RedHunt Labs 在公告中寫道:GitHub 令牌允許'不受限制'和'不受監控'地訪問托管在內部 GitHub 企業服務器上的全部源代碼。


該事件導致存放大量知識產權的敏感存儲庫數據泄露。其中,被泄露的信息包括數據庫連接字符串、云訪問密鑰、藍圖、設計文檔、SSO 密碼、API 密鑰和其他敏感內部信息。


源代碼泄露可能會導致競爭對手對專有技術進行逆向工程,黑客很可能通過這種方式發現汽車系統中的潛在漏洞。


此外,API 密鑰暴露可能會導致未經授權的數據訪問、服務中斷以及出于惡意目的濫用公司的基礎設施。


RedHunt 實驗室還提到,如果被暴露的存儲庫中包含客戶數據,則有可能觸犯法律,比如違反 GDPR。不過,研究人員尚未驗證被暴露文件的內容。


RedHunt 在 TechCrunch 的幫助下,于 2024 年 1 月 22 日向梅賽德斯-奔馳通報了令牌泄露事件,并在兩天后撤銷了該令牌,阻止了所有持有和濫用令牌者的非法訪問。


這次事件有點類似 2022 年 10 月發生的豐田汽車安全事故。當時豐田披露,由于 GitHub 訪問密鑰被暴露,客戶個人信息在長達五年的時間里仍可被公開訪問。


只有當 GitHub 的所有者激活了審計日志,通常包括 IP 地址,才會產生惡意利用的實質性證據。


關于此次事件,梅賽德斯-奔馳公司的具體回復如下:


目前可以確認的是由于人為錯誤,奔馳的內部訪問令牌的源代碼被發布到了 GitHub 公共倉庫上。
并且該令牌允許外部人員訪問一定數量的倉庫,但不能訪問托管在內部 GitHub 企業服務器上的全部源代碼。現已撤銷了相應的令牌,并立即刪除了公共存儲庫,所以目前客戶數據未受影響。- 梅賽德斯-奔馳


出于安全原因,梅賽德斯奔馳方面表示并不想分享該事件的技術細節,因此目前還不清楚他們是否檢測到了未經授權的訪問。此外,該公司還表示,他們愿意與全球研究人員合作,并通過漏洞披露計劃接受安全報告。


參考來源:A mishandled GitHub token exposed Mercedes-Benz source code (bleepingcomputer.com)


數據泄露 奔馳
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接