Британская компания RedHunt Labs недавно обнаружила токен аутентификации, который принадлежит сотруднику компании Mercedes-Benz. Этот токен был случайно размещен во вседоступном репозитории GitHub. Согласно комментариям соучредителя RedHunt Шубхама Миттала, злоумышленники могли использовать этот токен для получения "неограниченного доступа" к коммерческим секретам и другим важным аутентификационным данным немецкого автомобильного гиганта.
RedHunt обнаружила открытый токен аутентификации во время обычного сканирования интернета в январе, но сам токен был размещен еще в сентябре 2023 года. Похитители, используя закрытый ключ, могли получить полный доступ к корпоративному серверу GitHub компании Mercedes-Benz. Объем и важность данных, хранящихся на этом сервере, были ошеломляющими.
Опубликованный токен GitHub предоставлял угрожающие возможности, такие, как "неограниченный" и "неконтролируемый" доступ к большому количеству файлов интеллектуальной собственности Mercedes-Benz, включая чертежи, проектную документацию и другую "критическую" внутреннюю информацию. Миттал подчеркнул, что на сервере также находились ключи облачного доступа, API-ключи и дополнительные пароли, которые могли бы быть использованы для нарушения работы всей IT-инфраструктуры автопроизводителя, создавая беспрецедентную и хаотичную ситуацию.
Наихудшим из всего этого было то, что Миттал подтвердил с доказательствами наличие ключей для серверов Microsoft Azure и Amazon Web Services (AWS), баз данных PostgreSQL, а также исходного кода программного обеспечения Mercedes-Benz на небезопасных репозиториях. Слова исследователя безопасности говорят о том, что на этих серверах, по всей видимости, не хранились никакие данные о клиентах.
RedHunt поделился деталями этого неприятного инцидента с безопасностью с TechCrunch, который затем проинформировали о проблеме Mercedes-Benz. Представитель компании заявил, что внутренний исходный код автопроизводителя был непреднамеренно опубликован на общедоступном сервере GitHub из-за человеческой ошибки. В настоящее время ведется внутреннее расследование, и будут предприняты дополнительные меры по устранению проблемы.
Несмотря на то, что не контролируемый токен был доступен публично в течение нескольких месяцев, пока нет доказательств того, что злоумышленники или киберпреступники смогли его раскрыть и злоупотребить им для компрометации бизнеса Mercedes-Benz. Компания пока не подтвердила, были ли попытки несанкционированного доступа к ее системам с использованием журналов доступа или других мер безопасности.