Изворниот код на Mercedes-Benz беше јавно достапен на интернет

Приватен автентикациски клуч од автомобилскиот гигант Mercedes-Benz беше јавно достапен на интернет. Клучот овозможи пристап до изворниот код на компанијата и други интерни податоци, а багот беше откриен од страна на лондонската компанија за сајбер безбедност RedHunt

Шубам Митал, ко-основачот и главен технолошки директор на RedHunt Labs, го информирал TechCrunch за сериозниот баг.  

Од RedHunt Labs соопштиле дека пронашле токен за автентикација на вработен во Mercedes во јавен репозиториум на GitHub. 

Според Митал, овој токен, кој служи како алтернатива на лозинката за автентикација на GitHub, потенцијално може да обезбеди неограничен пристап до серверот GitHub Enterprise на Mercedes, овозможувајќи преземање на приватните репозиториуми на изворниот код на компанијата. 

Photo by Markus Spiske on Unsplash

„Автентикацискиот токен за GitHub може да овозможи „неограничен“ и „ненадгледуван“ пристап до целиот изворен код хостиран на внатрешниот сервер на GitHub Enterprise“. 

„Репозиториумите вклучуваат голема количина на интелектуална сопственост… стрингови за поврзување, клучеви за пристап во облак, нацрти, документи за дизајн, лозинки за [едно најавување], API клучеви и други сензитивни интерни информации“, изјави Митал за TechCrunch 

Митал достави документи до TechCrunch со докази кои што укажуваат на тоа дека достапните документи вклучуваат клучеви на Microsoft Azure и Amazon Web Services, база на податоци Postgres и изворен код на Mercedes. За сега, останува непознато дали во овие документи имало и лични податоци на клиентите.  

Од Mercedes го потврдија случајот и изјавија дека конкретниот случај е веќе решен и работат на тоа да не се повтори во иднина. 

„Можеме да потврдиме дека внатрешниот изворен код е објавен на јавен репозиториум на GitHub по човечка грешка. Безбедноста на нашата организација, производи и услуги е еден од нашите врвни приоритети, изјавија од Mercedes. 

Останува непознато дали и некој друг, освен Митал, го пронашол приватниот клуч, кој беше достапен во јавноста кон крајот на септември минатата година. 

Од Mercedes не открија дали имаат регистрирано неовластен пристап до репозиториумите кои што беа јавно достапни поради грешка на вработен во компанијата.  

Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!

basic

членство

42 ден./мес

зачлени се

1337

членство

125 ден./мес

зачлени се
* плаќањето е на годишно ниво

Доколку веќе имаш премиум членство, најави се тука.

Добивај известувања
Извести ме за
guest
0 Коментари
Inline Feedbacks
View all comments

ит кариера

MDH Insurance Services DOOEL

Mid/Senior .NET Software Developer

Matrix IT Global Services Macedonia

Marketing Strategist

Digilink Konsalting

Java Script Developer

Matrix Global

Fullstack Developer

види ги сите огласи на kariera.it.mk