Ένα λανθασμένο διακριτικό GitHub έδωσε απεριόριστη πρόσβαση στην εσωτερική υπηρεσία GitHub Enterprise της
Mercedes
-Benz, εκθέτοντας τον πηγαίο κώδικα στο κοινό.
Η Mercedes-Benz είναι μια διάσημη γερμανική εταιρεία κατασκευής αυτοκινήτων, λεωφορείων και φορτηγών που αναγνωρίζεται για την πλούσια ιστορία της καινοτομίας, τα πολυτελή σχέδια και την κορυφαία ποιότητα κατασκευής.
Όπως πολλές σύγχρονες αυτοκινητοβιομηχανίες, η μάρκα χρησιμοποιεί λογισμικό στα οχήματα και τις υπηρεσίες της, συμπεριλαμβανομένων συστημάτων ασφάλειας και ελέγχου, infotainment, αυτόνομης οδήγησης, διαγνωστικών και εργαλείων συντήρησης, συνδεσιμότητας και τηλεματικής και διαχείρισης ηλεκτρικής ενέργειας και μπαταρίας (για EV).
Στις 29 Σεπτεμβρίου 2023, ερευνητές στο RedHunt Labs ανακάλυψαν ένα διακριτικό GitHub σε ένα δημόσιο αποθετήριο που ανήκε σε έναν υπάλληλο της Mercedez που έδωσε πρόσβαση στον εσωτερικό διακομιστή GitHub Enterprise της εταιρείας.
“
Το
διακριτικό GitHub παρείχε “απεριόριστη” και “μη παρακολούθηση” πρόσβαση σε ολόκληρο τον πηγαίο κώδικα που φιλοξενείται στον Internal GitHub Enterprise Server”, αναφέρει
Έκθεση της RedHunt Labs
.
“Το περιστατικό αποκάλυψε ευαίσθητα αποθετήρια που στεγάζουν πληθώρα πνευματικών δικαιωμάτων και οι παραβιασμένες πληροφορίες περιελάμβαναν συμβολοσειρές σύνδεσης βάσης δεδομένων, κλειδιά πρόσβασης στο
cloud
, σχεδιαγράμματα, έγγραφα σχεδίασης, κωδικούς πρόσβασης SSO, κλειδιά API και άλλες κρίσιμες εσωτερικές πληροφορίες.”
Όπως εξήγησαν οι ερευνητές, οι συνέπειες της δημόσιας έκθεσης αυτών των δεδομένων μπορεί να είναι σοβαρές.
Οι διαρροές πηγαίου κώδικα μπορεί να οδηγήσουν σε ανταγωνιστές να αναστρέψει την ιδιόκτητη
τεχν
ολογία ή χάκερ να την ελέγξουν για πιθανές ευπάθειες στα συστήματα οχημάτων.
Επίσης, η έκθεση των κλειδιών API θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση σε δεδομένα, διακοπή της υπηρεσίας και κατάχρηση της υποδομής της εταιρείας για κακόβουλους σκοπούς.
Η RedHunt Labs αναφέρει επίσης την πιθανότητα νομικών παραβιάσεων, όπως παραβίαση του GDPR, σε περίπτωση που τα εκτεθειμένα αποθετήρια περιείχαν δεδομένα πελατών. Ωστόσο, οι ερευνητές δεν έχουν επικυρώσει το περιεχόμενο των εκτεθειμένων αρχείων.
RedHunt, με τη βοήθεια από
TechCrunch
ενημέρωσε τη Mercedes-Benz για τη διαρροή συμβολαίων στις 22 Ιανουαρίου 2024 και την ανακάλεσε δύο ημέρες αργότερα,
εμπ
οδίζοντας την πρόσβαση σε οποιονδήποτε το κατέχει και το κάνει κατάχρηση.
Αυτό το περιστατικό μοιάζει με ένα ατύχημα ασφαλείας της Toyota από τον Οκτώβριο του 2022, όταν η ιαπωνική αυτοκινητοβιομηχανία αποκάλυψε ότι οι προσωπικές πληροφορίες πελατών παρέμειναν δημόσια προσβάσιμες για πέντε χρόνια λόγω ενός εκτεθειμένου κλειδιού πρόσβασης GitHub.
Αυτά τα περιστατικά δημιουργούν ενδείξεις κακόβουλης εκμετάλλευσης μόνο εάν οι κάτοχοι παρουσιών του GitHub Enterprise έχουν ενεργοποιήσει αρχεία καταγραφής ελέγχου, τα οποία συνήθως περιλαμβάνουν διευθύνσεις IP.
Η BleepingComputer επικοινώνησε με τη Mercedes-Benz για να μάθει εάν έχουν δει σημάδια μη εξουσιοδοτημένης πρόσβασης στον διακομιστή GitHub και λάβαμε την ακόλουθη απάντηση:
Μπορούμε να επιβεβαιώσουμε ότι ο πηγαίος κώδικας που περιέχει ένα διακριτικό εσωτερικής πρόσβασης δημοσιεύτηκε σε δημόσιο αποθετήριο GitHub από ανθρώπινο λάθος.
Αυτό το διακριτικό έδωσε πρόσβαση σε έναν ορισμένο αριθμό αποθετηρίων, αλλά όχι σε ολόκληρο τον πηγαίο κώδικα που φιλοξενείται στον Internal GitHub Enterprise Server.
Έχουμε ανακαλέσει το αντίστοιχο διακριτικό και αφαιρέσαμε αμέσως το δημόσιο αποθετήριο. Τα δεδομένα πελατών δεν επηρεάστηκαν όπως δείχνει η τρέχουσα ανάλυσή μας.
Θα συνεχίσουμε να αναλύουμε αυτήν την υπόθεση σύμφωνα με τις συνήθεις διαδικασίες μας. – Mercedes-Benz
Η αυτοκινητοβιομηχανία είπε στο BleepingComputer ότι δεν θέλουν να κοινοποιήσουν τεχνικές λεπτομέρειες για το περιστατικό για λόγους ασφαλείας, επομένως δεν είναι σαφές εάν έχουν εντοπίσει μη εξουσιοδοτημένη πρόσβαση ή όχι.
Επίσης, η εταιρεία δήλωσε ότι είναι ανοιχτή να συνεργαστεί με ερευνητές σε όλο τον κόσμο και δέχεται αναφορές ασφαλείας μέσω της
πρόγραμμα αποκάλυψης ευπάθειας
.
VIA:
bleepingcomputer.com
