此篇文章发布距今已超过292天,您需要注意文章的内容或图片是否可用!
近日,RedHunt 实验室的研究人员发现,梅赛德斯-奔驰无意中留下了可在线访问的私钥,暴露了内部数据,包括公司的源代码。目前尚不清楚数据泄露是否暴露了客户数据。梅赛德斯-奔驰(Mercedes-Benz)是德国著名的汽车、公共汽车和卡车制造商,以其丰富的创新历史、奢华的设计和一流的制造质量而闻名于世。与许多现代汽车制造商一样,奔驰在其车辆和服务中使用了包括包括安全和控制系统、信息娱乐、自动驾驶、诊断和维护工具、连接和远程信息处理,以及电力和电池管理(电动汽车)等软件工具。2023 年 9 月 29 日,RedHunt Labs 的研究人员在一个属于 Mercedez 员工的公共仓库中发现了一个 GitHub 令牌,该令牌可以访问公司内部的 GitHub 企业服务器。RedHunt Labs 在公告中写道:GitHub 令牌允许'不受限制'和'不受监控'地访问托管在内部 GitHub 企业服务器上的全部源代码。该事件导致存放大量知识产权的敏感存储库数据泄露。其中,被泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他敏感内部信息。源代码泄露可能会导致竞争对手对专有技术进行逆向工程,黑客很可能通过这种方式发现汽车系统中的潜在漏洞。此外,API 密钥暴露可能会导致未经授权的数据访问、服务中断以及出于恶意目的滥用公司的基础设施。RedHunt 实验室还提到,如果被暴露的存储库中包含客户数据,则有可能触犯法律,比如违反 GDPR。不过,研究人员尚未验证被暴露文件的内容。RedHunt 在 TechCrunch 的帮助下,于 2024 年 1 月 22 日向梅赛德斯-奔驰通报了令牌泄露事件,并在两天后撤销了该令牌,阻止了所有持有和滥用令牌者的非法访问。这次事件有点类似 2022 年 10 月发生的丰田汽车安全事故。当时丰田披露,由于 GitHub 访问密钥被暴露,客户个人信息在长达五年的时间里仍可被公开访问。只有当 GitHub 的所有者激活了审计日志,通常包括 IP 地址,才会产生恶意利用的实质性证据。目前可以确认的是由于人为错误,奔驰的内部访问令牌的源代码被发布到了 GitHub 公共仓库上。
并且该令牌允许外部人员访问一定数量的仓库,但不能访问托管在内部 GitHub 企业服务器上的全部源代码。现已撤销了相应的令牌,并立即删除了公共存储库,所以目前客户数据未受影响。
——梅赛德斯-奔驰
出于安全原因,梅赛德斯奔驰方面表示并不想分享该事件的技术细节,因此目前还不清楚他们是否检测到了未经授权的访问。此外,该公司还表示,他们愿意与全球研究人员合作,并通过漏洞披露计划接受安全报告。编辑:陈十九
审核:商密君
大家好,为了更好地促进同业间学术交流,商密君现开启征文活动,只要你对商用密码、网络安全、数据加密等有自己的独到见解和想法,都可以积极向商密君投稿,商密君一定将您的声音传递给更多的人。注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。 推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com
还没有评论,来说两句吧...