Ένας λανθασμένος χειρισμός ενός ιδιωτικού κλειδιού (token) του GitHub έδωσε απεριόριστη πρόσβαση στον εσωτερικό διακομιστή GitHub Enterprise της Mercedes-Benz, εκθέτοντας τον πηγαίο κώδικα στο κοινό.
Στις 29 Σεπτεμβρίου 2023, ερευνητές στο RedHunt Labs ανακάλυψαν ένα token του GitHub σε ένα δημόσιο repository που ανήκε σε έναν εργαζόμενο της Mercedes, που έδινε πρόσβαση στην εσωτερική υπηρεσία GitHub Enterprise της εταιρείας.
Το token του GitHub έδινε απεριόριστη και χωρίς παρακολούθηση πρόσβαση σε ολόκληρο τον πηγαίο κώδικα της Mercedes-Benz που φιλοξενείται στον εσωτερικό διακομιστή GitHub Enterprise και έτσι διέρρευσαν στοιχεία από τις βάσεις δεδομένων, κλειδιά πρόσβασης στο cloud, σχέδια, έγγραφα σχεδίασης, SSO κωδικοί, κλειδιά API και άλλες κρίσιμες εσωτερικές πληροφορίες.
Όπως εξήγησαν οι ερευνητές, οι συνέπειες της δημοσίευσης αυτών των δεδομένων μπορεί να είναι σοβαρές και ανταγωνιστές ή χάκερς να γνωρίζουν πιθανές ευπάθειες στα συστήματα των αυτοκινήτων της Mercedes.
Επίσης, η διαρροή των κλειδιών API θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση σε δεδομένα, διακοπή υπηρεσιών και κατάχρηση της υποδομής της εταιρείας για κακόβουλους σκοπούς. Η RedHunt Labs αναφέρει επίσης τη δυνατότητα παραβίασης νομικών απαιτήσεων, όπως η παραβίαση του GDPR, σε περίπτωση που οι διαρροές των repositories περιείχαν δεδομένα πελατών.
Η Mercedes-Benz ενημερώθηκε για την διαρροή του token στις 22 Ιανουαρίου 2024 και η εταιρία το ανακάλεσε 2 ημέρες μετά, αποκλείοντας την πρόσβαση σε οποιονδήποτε είχε πρόσβαση σε αυτό.
Εκπρόσωπος της Mercedes-Benz σχολίασε για το θέμα:
Μπορούμε να επιβεβαιώσουμε ότι ο πηγαίος κώδικας που περιείχε ένα εσωτερικό token δημοσιεύτηκε σε ένα δημόσιο repository του GitHub λόγω ανθρώπινου λάθους. Αυτό το token έδινε πρόσβαση σε έναν συγκεκριμένο αριθμό repositories, αλλά όχι σε ολόκληρο τον πηγαίο κώδικα που φιλοξενείται στον εσωτερικό διακομιστή GitHub Enterprise.
Έχουμε ανακαλέσει το token και καταργήσαμε αμέσως το δημόσιο repository. Τα δεδομένα πελατών δεν επηρεάστηκαν σύμφωνα με την τρέχουσα ανάλυσή μας.
Η ασφάλεια του οργανισμού, των προϊόντων και των υπηρεσιών μας είναι μία από τις κορυφαίες προτεραιότητές μας. Θα συνεχίσουμε να αναλύουμε αυτή την υπόθεση σύμφωνα με τις συνήθεις διαδικασίες μας. Ανάλογα με αυτό, θα εφαρμόσουμε διορθωτικά μέτρα.
Αυτό το περιστατικό μοιάζει με ένα πρόβλημα ασφαλείας της Toyota τον Οκτώβριο του 2022, όταν ο ιαπωνικός κατασκευαστής αποκάλυψε ότι προσωπικές πληροφορίες πελατών παρέμεναν δημόσια προσβάσιμες για πέντε χρόνια, λόγω εκτεθειμένου κλειδιού πρόσβασης του GitHub.