近日,RedHunt Labs的研究人员发现,著名车企梅赛德斯-奔驰意外地将一个私钥公开,从而导致该公司包括源代码在内的内部数据在线暴露。
RedHunt Labs在一月份的一次例行互联网扫描中发现,一个属于梅赛德斯员工的身份验证令牌被公开在一个公共GitHub存储库中。RedHunt Labs联合创始人兼首席技术官Shubham Mittal透露:
“GitHub令牌提供了对内部GitHub企业服务器上托管的源代码的‘无限制’和‘未监控’的访问权限。这些存储库包含大量的知识产权……连接字符串、云访问密钥、蓝图、设计文件、单点登录密码、API密钥和其他关键的内部信息。”
Shubham Mittal向美国知名科技博客TechCrunch提供证据证实了该代码库中含有Microsoft Azure和Amazon Web Services密钥、Postgres数据库以及梅赛德斯的源代码。RedHunt Labs将这些发现与TechCrunch分享,以借助这家媒体通知该汽车制造商。
TechCrunch于周一向梅赛德斯披露了这一安全问题。周三,梅赛德斯发言人Katja Liesenfeld表示他们意识到数据泄露后,立即撤销了相应的API令牌并移除了公共存储库:
“我们可以确认,由于人为错误,内部源代码被公布在一个公共GitHub存储库上。我们组织、产品和服务的安全是我们的首要任务之一。我们将继续按照正常流程分析此案。根据情况,我们会采取补救措施。”
对该泄露事件的调查显示,这个令牌自2023年9月底以来一直处于公开状态,目前尚不清楚是否还有其他人未经授权地访问了这家汽车制造商的数据,也尚不清楚是否还暴露了客户数据或是其他数据。
梅赛德斯拒绝透露是否知晓有任何第三方访问了暴露的数据,或者公司是否具备技术能力(如访问日志)来确定是否存在任何对其数据库的不当访问。
编辑:左右里
资讯来源:TechCrunch
转载请注明出处和本文链接
终端(Endpoint)
连接到网络的具有互联网功能的计算机设备的统称-例如,现代智能手机,笔记本电脑和平板电脑都是端点。
球分享
球点赞
球在看