Vreme čitanja: oko 2 min.
Mercedes-Benz je slučajno podelio svoj izvorni kod i poslovne tajne sa celim svetom
Vreme čitanja: oko 2 min.
Izvorni kod unutrašnjih sistema kompanije je nenamerno objavljen na javnom GitHub serveru zbog ljudske greške
Mercedes-Benz se suočio sa značajnim bezbednosnim propustom nakon što je otkriveno da je slučajno podelio svoj izvorni kod i poslovne tajne sa celim svetom. Propust je otkrila britanska kompanija za bezbednost, RedHunt Labs, koja je pronašla token za autentifikaciju zaposlenog u Mercedes-Benzu na javnom GitHub repozitorijumu. Ovaj token je omogućavao "neograničen pristup" poslovnim tajnama i drugim ključnim podacima za autentifikaciju nemačkog automobilskog giganta.
RedHunt je identifikovao izloženi token za autentifikaciju tokom rutinskog skeniranja interneta u januaru, iako je token objavljen još u septembru 2023. godine. Korišćenjem privatnog ključa, zlonamerni akteri ili sajber kriminalci mogli su da dobiju potpuni pristup GitHub Enterprise Serveru koji pripada Mercedes-Benzu, gde su skladištene velike količine osetljivih podataka.
Token je omogućio "neograničen" i "nenadgledan" pristup velikoj količini intelektualne svojine Mercedes-Benza, uključujući nacrte, dizajnerske dokumente i druge "kritične" interne informacije. Server je takođe hostovao ključeve za pristup oblaku, API ključeve i dodatne lozinke, što je moglo biti iskorišćeno za narušavanje celokupne IT infrastrukture proizvođača automobila, stvarajući bezprecedentnu i haotičnu situaciju.
Osim toga, otkriveno je da su nezaštićeni repozitorijumi izložili ključeve za Microsoft Azure i Amazon Web Services (AWS) servere, Postgres bazu podataka, pa čak i izvorni kod softvera Mercedes-Benz-a. Prema rečima istraživača, na pogođenim serverima nisu bili hostovani podaci o kupcima, piše TechSpot.
RedHunt je o ovom bezbednosnom incidentu obavestio TechCrunch, koji je potom obavestio Mercedes-Benz. Portparol nemačke kompanije potvrdio je da je neograničeni API token opozvan, a javni repozitorijum je "odmah" uklonjen.
Izvorni kod unutrašnjih sistema kompanije je nenamerno objavljen na javnom GitHub serveru zbog ljudske greške, rekao je portparol. Interna istraga je i dalje u toku, a biće sprovedene i dodatne "korektivne mere".
Iako je token bio izložen javnom pristupu mesecima, do sada nema dokaza da su zlonamerni akteri ili sajber kriminalci otkrili i zloupotrebili tajnu kako bi kompromitovali poslovanje Mercedes-Benza. Kompanija nije potvrdila da li je bila u mogućnosti da detektuje nepoznate pokušaje pristupa svojim sistemima putem pristupnih zapisa ili drugih bezbednosnih mera.
(Telegraf.rs)
Telegraf.rs zadržava sva prava nad sadržajem. Za preuzimanje sadržaja pogledajte uputstva na stranici Uslovi korišćenja.