Mercedes-Benz delte hemmelig kildekode med hele verden ved en fejl
Sikkerhedsforskere scanner jævnligt det store internet i jagten efter ubeskyttede servere eller eksponerede ”hemmeligheder”, der tilhører store virksomheder rundt om i verden.
Netop sådan et tilfælde opdagede den britiske it-sikkerhedsvirksomhed RedHunt Labs for nylig. Det var dog meget mere end en simpel usikker server med fortrolig data.
Læs også: Ny malware bruger cookies i Chrome til at få fat i dine loginoplysninger
Adgangstoken til Mercedes-Benz’ systemer lå offentligt tilgængelig
RedHunt Labs opdagede for nylig en såkaldt adgangsstoken, der tilhørte en ansat hos Mercedes-Benz. Den pågældende token blev hostet i et offentligt GitHub-lager, oplyser Shubham Mittal, der er medstifter af RedHunt Labs.
Offentliggørelsen af denne token kunne have været udnyttet til at få “ubegrænset adgang” til Mercedes-Benz’ forretningshemmeligheder og andre vigtige autentificeringsoplysninger, oplyser RedHunt Labs.
It-sikkerhedsvirksomheden fandt den eksponerede autentificeringstoken under en rutinescanning af internettet i januar, men den fundne token blev lagt op på GitHub allerede i september 2023.
Læs også: Hackere får adgang til modemmet i Teslas elbiler
Ubegrænset adgang til stor mængde af filer
Ved at bruge den private token har cyberkriminelle kunnet opnå fået fuld adgang til en GitHub Enterprise-server ejet af Mercedes-Benz. Mængden og følsomhedsgraden af det lagrede data på den pågældende server er forbløffende, lyder det.
Den eksponerede GitHub-token gav ”ubegrænset” og ”ikke overvåget” adgang til en stor mængde filer med Mercedes-Benz’ intellektuelle ejendom, herunder tegninger, designdokumenter og anden ”kritisk” intern information. Shubham Mittal fremhæver, at serveren også hostede adgangsnøgler til cloudbaserede tjenester, API-nøgler og andre kodeord, som kunne have været udnyttet til at forstyrre hele Mercedes-Benz’ it-infrastruktur og skabe en hidtil uset og kaotisk situation.
Endnu værre er det, at Shubham Mittal bekræfter, at også nøgler til Microsoft Azure og Amazon Web Services (AWS)-servere, en Postgres-database og selv kildekoden til Mercedes’ software var eksponeret. Tilsyneladende lå der ingen kundedata på de pågældende servere, fortæller sikkerhedsforskerne.
Mercedes-Benz bekræfter: En menneskelig fejl
RedHunt Labs har delt detaljer om den yderst uhensigtsmæssige sikkerhedshændelse med mediet TechCrunch, der derefter afslørede problemet for Mercedes-Benz. En talsperson fra den tyske bilgigant bekræftede hurtigt, at ubegrænsede API-token var blevet tilbagekaldt, og at det offentlige opbevaringssted på GitHub omgående blev fjernet.
Bilproducentens interne kildekode blev utilsigtet lagt ud på en offentlig GitHub-server på grund af en menneskelig fejl, oplyser en talsperson fra Mercedes-Benz.
En intern undersøgelse er stadig i gang, og “afhjælpende foranstaltninger” vil blive indført for at undgå lignende situationer i fremtiden.
Den ikkeovervågede token lå ude i flere måneder, men indtil videre er der ikke nogen tegn på, at cyberkriminelle personer har fundet frem til og misbrugt oplysningerne for at kunne skabe problemer for Mercedes-Benz.
Selskabet har heller ikke bekræftet, om de har fundet forsøg på få adgang til deres systemer fra ukendte parter via logfiler eller andre sikkerhedsforanstaltninger.
