近日,RedHunt 实验室的研究人员发现,梅赛德斯-奔驰无意中留下了可在线访问的私钥,暴露了内部数据,包括公司的源代码。目前尚不清楚数据泄露是否暴露了客户数据。
梅赛德斯-奔驰(Mercedes-Benz)是德国著名的汽车、公共汽车和卡车制造商,以其丰富的创新历史、奢华的设计和一流的制造质量而闻名于世。
与许多现代汽车制造商一样,奔驰在其车辆和服务中使用了包括包括安全和控制系统、信息娱乐、自动驾驶、诊断和维护工具、连接和远程信息处理,以及电力和电池管理(电动汽车)等软件工具。
2023 年 9 月 29 日,RedHunt Labs 的研究人员在一个属于 Mercedez 员工的公共仓库中发现了一个 GitHub 令牌,该令牌可以访问公司内部的 GitHub 企业服务器。RedHunt Labs 在公告中写道:GitHub 令牌允许'不受限制'和'不受监控'地访问托管在内部 GitHub 企业服务器上的全部源代码。
该事件导致存放大量知识产权的敏感存储库数据泄露。其中,被泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他敏感内部信息。
源代码泄露可能会导致竞争对手对专有技术进行逆向工程,黑客很可能通过这种方式发现汽车系统中的潜在漏洞。
此外,API 密钥暴露可能会导致未经授权的数据访问、服务中断以及出于恶意目的滥用公司的基础设施。
RedHunt 实验室还提到,如果被暴露的存储库中包含客户数据,则有可能触犯法律,比如违反 GDPR。不过,研究人员尚未验证被暴露文件的内容。
RedHunt 在 TechCrunch 的帮助下,于 2024 年 1 月 22 日向梅赛德斯-奔驰通报了令牌泄露事件,并在两天后撤销了该令牌,阻止了所有持有和滥用令牌者的非法访问。
这次事件有点类似 2022 年 10 月发生的丰田汽车安全事故。当时丰田披露,由于 GitHub 访问密钥被暴露,客户个人信息在长达五年的时间里仍可被公开访问。
只有当 GitHub 的所有者激活了审计日志,通常包括 IP 地址,才会产生恶意利用的实质性证据。
关于此次事件,梅赛德斯-奔驰公司的具体回复如下:
目前可以确认的是由于人为错误,奔驰的内部访问令牌的源代码被发布到了 GitHub 公共仓库上。
并且该令牌允许外部人员访问一定数量的仓库,但不能访问托管在内部 GitHub 企业服务器上的全部源代码。现已撤销了相应的令牌,并立即删除了公共存储库,所以目前客户数据未受影响。- 梅赛德斯-奔驰
出于安全原因,梅赛德斯奔驰方面表示并不想分享该事件的技术细节,因此目前还不清楚他们是否检测到了未经授权的访问。此外,该公司还表示,他们愿意与全球研究人员合作,并通过漏洞披露计划接受安全报告。
参考来源:A mishandled GitHub token exposed Mercedes-Benz source code (bleepingcomputer.com)