RedHunt Labs的研究人员发现,梅赛德斯-奔驰无意中在网上留下了一个可访问的私人密钥,从而暴露了内部数据,包括公司的源代码。目前尚不清楚数据泄露是否暴露了客户数据,
RedHunt Labs与TechCrunch分享了其发现,并在媒体机构的帮助下通知了汽车制造商。这家安全公司发现,一个属于梅赛德斯员工的身份验证令牌被留在了公开的GitHub存储库中。这一发现是在1月份的一次常规互联网扫描中进行的。
泄露的令牌有可能提供对梅赛德斯GitHub企业服务器的无限制访问,使任何人都能检索该公司的私有源代码存储库。“该GitHub令牌提供了对整个源代码的‘无限制’和‘未监控’访问,这些源代码托管在内部GitHub企业服务器上,RedHunt Labs的联合创始人兼首席技术官Shubham Mittal告诉TechCrunch。这些存储库包括大量的知识产权…连接字符串、云访问密钥、蓝图、设计文档、单点登录密码、API密钥和其他重要的内部信息。”
Mittal向TechCrunch提供了证据,证明存在微软Azure和亚马逊网络服务(AWS)凭据、Postgres数据库和梅赛德斯源代码。
暴露的存储库包括微软Azure和亚马逊网络服务(AWS)凭据、Postgres数据库和梅赛德斯源代码。
周一,TechCrunch向梅赛德斯披露了这一安全问题。周三,梅赛德斯发言人Katja Liesenfeld证实,该公司“立即撤销了相应的API令牌并删除了公共存储库”。
梅赛德斯发言人Katja Liesenfeld告诉TechCrunch:“我们可以确认,由于人为错误,我们的内部源代码被发布到了一个公共GitHub存储库上,我们组织、产品和服务的网络安全是我们的首要任务之一。” “我们将继续根据我们的正常流程分析此案。根据这一点,我们将采取补救措施。”
梅赛德斯拒绝透露该公司是否知道有第三方访问了暴露的数据,或者该公司是否有技术能力(如访问日志)来确定其数据存储库是否被不当访问。发言人援引了未指明的安全原因
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...