Разработчик Mercedes-Benz случайно раскрыл секретный ключ, в результате чего был украден исходный код всей компании и другие ключи.

Ключи подключения AWS и Microsoft Azure можно использовать для входа на серверы Mercedes-Benz, размещенные на AWS и Microsoft, что может привести к раскрытию большего количества личных данных.

Разработчик случайно выставил токен на GitHub:

GitHub позволяет разработчикам создавать токены аутентификации в качестве альтернативы паролям. Сотрудники Mercedes-Benz случайно разместили свои токены в общедоступном GitHub, а это означает, что любой, кто получит токен, может напрямую получить доступ к корпоративному серверу Mercedes-Benz GitHub Enterprise Server и загрузить все данные.

RedHuntLabs просмотрела некоторые данные в целях проверки безопасности и обнаружила, что они также содержат ключи AWS и Azure, базы данных Postgres и другие исходные коды Mercedes.

Затем охранная компания связалась с Mercedes-Benz для получения обратной связи через TechCrunch. Получив отзыв, компания Mercedes-Benz немедленно подтвердила проблему и отозвала токен, одновременно удалив весь репозиторий, в котором был представлен токен.

Неясно, была ли утечка данных:

Сканирование показывает, что сотрудники Mercedes-Benz случайно раскрыли свои токены аутентификации в конце сентября 2023 года, а это означает, что с момента отзыва прошло несколько месяцев. В эти месяцы другие хакеры неизбежно просканируют токены и украдут все данные.

К сожалению, Mercedes-Benz отказался сообщить, знал ли он, что какая-либо третья сторона имела доступ к раскрытым данным, или имела ли компания возможность проверить необычный доступ к данным, что, вероятно, потребует полного анализа журналов за последние несколько месяцев.