IT 之家 2 月 1 日消息,梅賽德斯 - 奔馳由于沒有妥善處理 GitHub 私鑰,導緻外界可不受限制地訪問内部 GitHub 企業服務,而且整個源代碼都被洩露出來。
梅賽德斯 - 奔馳(Mercedes-Benz)是德國知名的汽車、巴士和卡車制造商,以其豐富的創新曆史、豪華的設計和一流的制造質量而聞名于世。
奔馳和很多其它車企一樣,開發包括安全和控制系統、信息娛樂、自動駕駛、診斷和維護工具、連接和遠程信息處理,以及電力和電池管理(電動汽車)等系統。
IT 之家查詢相關報道,事情起因是 RedHunt 實驗室的研究人員于 2023 年 9 月 29 日搜索時候,在屬于 Mercedez 員工的公共倉庫中發現了一個 GitHub 私鑰,該私鑰可訪問公司内部的 GitHub 企業服務器。
RedHunt 實驗室的報告指出,利用該 GitHub 私鑰,可以 " 不受限制 " 和 " 不受監控 " 地訪問托管在内部 GitHub 企業服務器上的全部源代碼。
這次事件暴露了存放大量知識産權的敏感存儲庫,被洩露的信息包括數據庫連接字符串、雲訪問密鑰、藍圖、設計文檔、SSO 密碼、API 密鑰和其他重要内部信息。
正如研究人員解釋的那樣,公開暴露這些數據的後果可能很嚴重。源代碼洩露可能導緻競争對手對專有技術進行反向工程,或黑客對其進行仔細檢查,以發現汽車系統中的潛在漏洞。
此外,API 密鑰的暴露還可能導緻未經授權的數據訪問、服務中斷以及出于惡意目的濫用公司的基礎設施。
RedHunt Labs 還提到,如果被暴露的存儲庫中包含客戶數據,就有可能觸犯 GDPR 等法律 。不過,研究人員尚未驗證被暴露文件的内容。
在 TechCrunch 的幫助下,RedHunt 于 2024 年 1 月 22 日向梅賽德斯 - 奔馳通報了令牌洩露的情況,奔馳在兩天後撤銷了私鑰,阻止了任何持有和濫用該私鑰的人訪問。
這一事件類似于 2022 年 10 月發生的豐田汽車安全事故,當時這家日本汽車制造商披露,由于 GitHub 訪問密鑰被暴露,客戶個人信息在五年的時間裏仍可被公開訪問。
