Mercedes-Benz se suočio sa značajnim bezbjednosnim propustom nakon što je otkriveno da je slučajno podijelio svoj izvorni kod i poslovne tajne sa cijelim svijetom. Propust je otkrila britanska kompanija za bezbjednost RedHunt Labs, koja je pronašla token za autentifikaciju zaposlenog u Mercedes-Benzu na javnom GitHub repozitoriju. Ovaj token je omogućavao "neograničen pristup" poslovnim tajnama i drugim ključnim podacima za autentifikaciju njemačkog automobilskog giganta.

Velike količine podataka

RedHunt je identifikovao izloženi token za autentifikaciju tokom rutinskog skeniranja interneta u januaru, iako je token objavljen još u septembru 2023. godine. Korištenjem privatnog ključa zlonamjerni akteri ili cyber kriminalci mogli su da dobiju potpuni pristup GitHub Enterprise Serveru koji pripada Mercedes-Benzu, gdje su skladištene velike količine osjetljivih podataka, piše Telegraf.rs.

Token je omogućio "neograničen" i "nenadgledan" pristup velikoj količini intelektualne svojine Mercedes-Benza, uključujući nacrte, dizajnerske dokumente i druge "kritične" interne informacije. Server je također hostovao ključeve za pristup oblaku, API ključeve i dodatne lozinke, što je moglo biti iskorišteno za narušavanje cjelokupne IT infrastrukture proizvođača automobila, stvarajući bezprecedentnu i haotičnu situaciju.

Osim toga, otkriveno je da su nezaštićeni repozitoriju izložili ključeve za Microsoft Azure i Amazon Web Services (AWS) servere, Postgres bazu podataka, pa čak i izvorni kod softvera Mercedes-Benza. Prema riječima istraživača, na pogođenim serverima nisu bili hostovani podaci o kupcima, piše TechSpot.

Interna istraga

RedHunt je o ovom bezbjednosnom incidentu obavijestio TechCrunch, koji je potom obavijestio Mercedes-Benz. Portparol njemačke kompanije potvrdio je da je neograničeni API token opozvan, a javni repozitorij je "odmah" uklonjen.

Izvorni token kod unutrašnjih sistema kompanije je nenamjerno objavljen na javnom GitHub serveru zbog ljudske greške, rekao je portparol. Interna istraga je i dalje u toku, a bit će provedene i dodatne "korektivne mjere".

Iako je token bio izložen javnom pristupu mjesecima, do sada nema dokaza da su zlonamjerni akteri ili cyber kriminalci otkrili i zloupotrijebili tajnu kako bi kompromitovali poslovanje Mercedes-Benza. Kompanija nije potvrdila da li je bila u mogućnosti da detektuje nepoznate pokušaje pristupa svojim sistemima putem pristupnih zapisa ili drugih bezbjednosnih mjera.