私鑰外泄引爆“安全炸彈”，奔馳 GitHub 完整源代碼和機(jī)密數(shù)據(jù)已“曬網(wǎng)”4 個(gè)月

IT之家 2 月 1 日消息，梅賽德斯-奔馳由于沒有妥善處理 GitHub 私鑰，導(dǎo)致外界可不受限制地訪問內(nèi)部 GitHub 企業(yè)服務(wù)，而且整個(gè)源代碼都被泄露出來。

梅賽德斯-奔馳（Mercedes-Benz）是德國知名的汽車、巴士和卡車制造商，以其豐富的創(chuàng)新歷史、豪華的設(shè)計(jì)和一流的制造質(zhì)量而聞名于世。

奔馳和很多其它車企一樣，開發(fā)包括安全和控制系統(tǒng)、信息娛樂、自動(dòng)駕駛、診斷和維護(hù)工具、連接和遠(yuǎn)程信息處理，以及電力和電池管理（電動(dòng)汽車）等系統(tǒng)。

IT之家查詢相關(guān)報(bào)道，事情起因是 RedHunt 實(shí)驗(yàn)室的研究人員于 2023 年 9 月 29 日搜索時(shí)候，在屬于 Mercedez 員工的公共倉庫中發(fā)現(xiàn)了一個(gè) GitHub 私鑰，該私鑰可訪問公司內(nèi)部的 GitHub 企業(yè)服務(wù)器。

RedHunt 實(shí)驗(yàn)室的報(bào)告指出，利用該 GitHub 私鑰，可以“不受限制”和“不受監(jiān)控”地訪問托管在內(nèi)部 GitHub 企業(yè)服務(wù)器上的全部源代碼。

這次事件暴露了存放大量知識(shí)產(chǎn)權(quán)的敏感存儲(chǔ)庫，被泄露的信息包括數(shù)據(jù)庫連接字符串、云訪問密鑰、藍(lán)圖、設(shè)計(jì)文檔、SSO 密碼、API 密鑰和其他重要內(nèi)部信息。

正如研究人員解釋的那樣，公開暴露這些數(shù)據(jù)的后果可能很嚴(yán)重。源代碼泄露可能導(dǎo)致競(jìng)爭(zhēng)對(duì)手對(duì)專有技術(shù)進(jìn)行反向工程，或黑客對(duì)其進(jìn)行仔細(xì)檢查，以發(fā)現(xiàn)汽車系統(tǒng)中的潛在漏洞。

此外，API 密鑰的暴露還可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問、服務(wù)中斷以及出于惡意目的濫用公司的基礎(chǔ)設(shè)施。

RedHunt Labs 還提到，如果被暴露的存儲(chǔ)庫中包含客戶數(shù)據(jù)，就有可能觸犯 GDPR 等法律 。不過，研究人員尚未驗(yàn)證被暴露文件的內(nèi)容。

在 TechCrunch 的幫助下，RedHunt 于 2024 年 1 月 22 日向梅賽德斯-奔馳通報(bào)了令牌泄露的情況，奔馳在兩天后撤銷了私鑰，阻止了任何持有和濫用該私鑰的人訪問。

這一事件類似于 2022 年 10 月發(fā)生的豐田汽車安全事故，當(dāng)時(shí)這家日本汽車制造商披露，由于 GitHub 訪問密鑰被暴露，客戶個(gè)人信息在五年的時(shí)間里仍可被公開訪問。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。