Приватен автентикациски клуч од автомобилскиот гигант Mercedes-Benz беше јавно достапен на интернет. Клучот овозможи пристап до изворниот код на компанијата и други интерни податоци, а багот беше откриен од страна на лондонската компанија за сајбер безбедност RedHunt.
Шубам Митал, ко-основачот и главен технолошки директор на RedHunt Labs, го информирал TechCrunch за сериозниот баг.
Од RedHunt Labs соопштиле дека пронашле токен за автентикација на вработен во Mercedes во јавен репозиториум на GitHub.
Според Митал, овој токен, кој служи како алтернатива на лозинката за автентикација на GitHub, потенцијално може да обезбеди неограничен пристап до серверот GitHub Enterprise на Mercedes, овозможувајќи преземање на приватните репозиториуми на изворниот код на компанијата.
„Автентикацискиот токен за GitHub може да овозможи „неограничен“ и „ненадгледуван“ пристап до целиот изворен код хостиран на внатрешниот сервер на GitHub Enterprise“.
„Репозиториумите вклучуваат голема количина на интелектуална сопственост… стрингови за поврзување, клучеви за пристап во облак, нацрти, документи за дизајн, лозинки за [едно најавување], API клучеви и други сензитивни интерни информации“, изјави Митал за TechCrunch
Митал достави документи до TechCrunch со докази кои што укажуваат на тоа дека достапните документи вклучуваат клучеви на Microsoft Azure и Amazon Web Services, база на податоци Postgres и изворен код на Mercedes. За сега, останува непознато дали во овие документи имало и лични податоци на клиентите.
Од Mercedes го потврдија случајот и изјавија дека конкретниот случај е веќе решен и работат на тоа да не се повтори во иднина.
„Можеме да потврдиме дека внатрешниот изворен код е објавен на јавен репозиториум на GitHub по човечка грешка. Безбедноста на нашата организација, производи и услуги е еден од нашите врвни приоритети, изјавија од Mercedes.
Останува непознато дали и некој друг, освен Митал, го пронашол приватниот клуч, кој беше достапен во јавноста кон крајот на септември минатата година.
Од Mercedes не открија дали имаат регистрирано неовластен пристап до репозиториумите кои што беа јавно достапни поради грешка на вработен во компанијата.