Yanlış bir Github jetonu, Mercedes-Benz'in dahili GitHub Enterprise Hizmetine sınırsız erişim sağladı ve kaynak kodunu halka açığa çıkardı.
Mercedes-Benz, zengin inovasyon tarihi, lüks tasarımları ve en iyi yapı kalitesi ile tanınan prestijli bir Alman otomobil, otobüs ve kamyon üreticisidir.
Birçok modern otomobil üreticisi gibi, marka araçlarında ve hizmetlerinde güvenlik ve kontrol sistemleri, bilgi -eğlence, otonom sürüş, teşhis ve bakım araçları, bağlantı ve telematik ve elektrik gücü ve pil yönetimi (EV'ler için) dahil olmak üzere yazılım kullanır.
29 Eylül 2023'te, Redhunt Labs'taki araştırmacılar, şirketin dahili GitHub Enterprise Server'a erişim sağlayan bir Mercedez çalışanına ait bir kamu deposunda bir GitHub jetonu keşfettiler.
RedHunt Labs'ın raporu, "Github jetonu, dahili GitHub Enterprise Server'da barındırılan tüm kaynak koduna 'sınırsız' ve 'işlenmemiş' erişim verdi."
"Olay, bir fikri mülkiyet zenginliği barındıran çıplak hassas depolar koydu ve tehlikeye atılan bilgiler, veritabanı bağlantı dizeleri, bulut erişim anahtarları, planlar, tasarım belgeleri, SSO şifreleri, API anahtarları ve diğer kritik dahili bilgileri içeriyordu."
Araştırmacıların açıkladığı gibi, bu verileri kamuya açıklamanın sonuçları şiddetli olabilir.
Kaynak kodu sızıntıları, rakiplerin, araç sistemlerindeki potansiyel güvenlik açıkları için onu inceleyen tescilli teknolojiyi veya bilgisayar korsanlarının tersine mühendislik yapmasına yol açabilir.
Ayrıca, API anahtarlarının maruz kalması, yetkisiz veri erişimine, hizmetin bozulmasına ve şirketin altyapısının kötü niyetli amaçlar için kötüye kullanılmasına yol açabilir.
RedHunt Labs, maruz kalan depoların müşteri verileri içermesi durumunda, GDPR ihlali gibi yasal ihlaller olasılığından da bahsediyor. Ancak, araştırmacılar maruz kalan dosyaların içeriğini doğrulamamıştır.
Redhunt, TechCrunch'ın yardımıyla, 22 Ocak 2024'te Jeton Sızıntısından Mercedes-Benz'i bilgilendirdi ve iki gün sonra iptal ederek, tutan ve kötüye kullanan herkese erişimi engelledi.
Bu olay, Japon otomobil üreticisinin kişisel müşteri bilgilerinin açık bir GitHub erişim anahtarı nedeniyle beş yıl boyunca halka açık kaldığını açıkladığı Ekim 2022'den itibaren bir Toyota Güvenlik Yanılgısına benziyor.
Bu olaylar, GitHub kurumsal örneklerin sahipleri genellikle IP adreslerini içeren denetim günlüklerini etkinleştirdiyse, kötü niyetli sömürü kanıtı oluşturur.
BleepingComputer, GitHub sunucusunda yetkisiz erişim belirtisi görüp görmediklerini öğrenmek için Mercedes-Benz ile iletişime geçti ve aşağıdaki yanıtı aldık:
Bir dahili erişim belirteci içeren kaynak kodunun, halka açık bir GitHub deposunda insan hatası ile yayınlandığını doğrulayabiliriz.
Bu jeton belirli sayıda depoya erişim sağladı, ancak dahili GitHub Enterprise Server'da barındırılan tüm kaynak koduna değil.
İlgili jetonu iptal ettik ve derhal kamu deposunu kaldırdık. Mevcut analizimizin gösterdiği gibi müşteri verileri etkilenmedi.
Bu vakayı normal süreçlerimize göre analiz etmeye devam edeceğiz. - Mercedes-Benz
Otomobil üreticisi, BleepingComputer'a güvenlik nedeniyle olayla ilgili teknik ayrıntıları paylaşmak istemediklerini söyledi, bu nedenle yetkisiz erişim tespit edip etmedikleri belirsiz.
Ayrıca firma, dünya çapında araştırmacılarla çalışmaya açık olduklarını ve güvenlik açığı açıklama programı aracılığıyla güvenlik raporlarını kabul ettiklerini söyledi.
EasyPark, milyonlarca kullanıcıyı etkileyebilecek veri ihlalini açıklar
Toyota, müşterileri kişisel, finansal bilgileri ortaya çıkararak veri ihlali konusunda uyarıyor
Europcar 50 milyon kullanıcının veri ihlalini reddediyor, diyor Veri sahte
Johnson Controls, fidye yazılımı saldırısının 27 milyon dolara mal olduğunu söylüyor.
KOBİ'ler siber saldırılar ve veri ihlalleri risklerini nasıl azaltabilir?
Kaynak: Bleeping Computer