Bunu keşfeden güvenlik araştırma firmasına göre, Mercedes-Benz, şirketin kaynak koduna “sınırsız erişim” sağlayan özel bir anahtarı çevrimiçi bıraktıktan sonra yanlışlıkla bir dahili veri hazinesini açığa çıkardı.
RedHunt Labs’ın kurucu ortağı ve baş teknoloji sorumlusu Shubham Mittal, TechCrunch’ı bu ifşa konusunda uyardı ve bunu otomobil üreticisine açıklamak için yardım istedi. Londra merkezli siber güvenlik şirketi, Ocak ayında yapılan rutin bir internet taraması sırasında halka açık GitHub deposunda bir Mercedes çalışanının kimlik doğrulama jetonunu bulduğunu söyledi.
Mittal’a göre GitHub’da kimlik doğrulamak için şifre kullanmaya alternatif olan bu token, herkese Mercedes’in GitHub Enterprise Server’ına tam erişim sağlayabilir ve böylece şirketin özel kaynak kodu depolarının indirilmesine olanak sağlayabilir.
TechCrunch tarafından paylaşılan bir raporda Mittal, “GitHub tokenı, dahili GitHub Enterprise Server’da barındırılan kaynak kodun tamamına ‘kısıtsız’ ve ‘izlenmeyen’ erişim sağladı.” dedi. “Depolar büyük miktarda fikri mülkiyet içeriyor… bağlantı dizeleri, bulut erişim anahtarları, planlar, tasarım belgeleri, [single sign-on] şifreler, API Anahtarları ve diğer kritik dahili bilgiler.”
Mittal, TechCrunch’a, açığa çıkan depoların Microsoft Azure ve Amazon Web Services (AWS) anahtarlarını, Postgres veritabanını ve Mercedes kaynak kodunu içerdiğine dair kanıt sağladı. Depolarda herhangi bir müşteri verisinin bulunup bulunmadığı bilinmiyor.
TechCrunch, güvenlik sorununu Pazartesi günü Mercedes’e açıkladı. Çarşamba günü Mercedes sözcüsü Katja Liesenfeld, şirketin “ilgili API tokenını iptal ettiğini ve halka açık depoyu derhal kaldırdığını” doğruladı.
Liesenfeld, TechCrunch’a yaptığı açıklamada, “Dahili kaynak kodunun halka açık bir GitHub deposunda insan hatası nedeniyle yayınlandığını doğrulayabiliriz” dedi. “Kuruluşumuzun, ürünlerimizin ve hizmetlerimizin güvenliği en önemli önceliklerimizden biridir.”
“Bu vakayı normal süreçlerimize göre analiz etmeye devam edeceğiz. Buna bağlı olarak iyileştirici tedbirler uyguluyoruz” diye ekledi Liesenfeld.
Eylül 2023’ün sonlarında yayınlanan açığa çıkan anahtarı Mittal dışında başka birinin keşfedip keşfetmediği bilinmiyor.
Mercedes, ifşa edilen verilere herhangi bir üçüncü tarafın erişiminden haberdar olup olmadığı veya şirketin veri havuzlarına uygunsuz erişim olup olmadığını belirlemek için erişim kayıtları gibi teknik yeterliliğe sahip olup olmadığı konusunda bilgi vermeyi reddetti. Sözcü belirtilmeyen güvenlik nedenlerini öne sürdü.
Geçen hafta TechCrunch, Hyundai’nin Hindistan’daki yan kuruluşunun, araçlarına Hyundai’ye ait istasyonlarda bakım yaptıran Hyundai Motor India müşterilerinin adları, posta adresleri, e-posta adresleri ve telefon numaraları dahil olmak üzere müşterilerinin kişisel bilgilerini açığa çıkaran bir hatayı düzelttiğini özel olarak bildirdi. Hindistan.