網絡安全公司RedHuntLabs日前在例行互聯網掃描中發現知名公司梅賽德斯奔馳不慎泄露員工的身份驗證令牌,這導致該公司在GitHub企業版上托管的所有源代碼、存儲庫全部暴露在公網上。
根據分析梅賽德斯奔馳的 GitHub Enterprise Server 上包含大量機密內容:
整個源代碼
知識產權內容
用來連接其他服務的字符串
AWS/Azure 連接密鑰
設計藍圖
設計文檔
SSO 密碼
API 密鑰
其他關鍵信息
其中 AWS 和 Microsoft Azure 連接密鑰則可以用來登錄梅賽德斯奔馳在 AWS 和微軟托管的服務器,這又可能導致更多私密數據暴露。
開發者不慎在 GitHub 上暴露令牌:
GitHub 允許開發者生成身份驗證令牌作為替代密碼的驗證方案,梅賽德斯奔馳的員工不慎在一個公共 GitHub 中暴露自己的令牌,這意味著任何人拿到這個令牌後都可以直接訪問梅賽德斯奔馳的 GitHub Enterprise Server 並下載所有數據。
RedHunt Labs 基於安全驗證目的瀏覽部分數據,發現裡面還包含 AWS 和 Azure 密鑰、Postgres 數據庫和梅賽德斯的其他源代碼等。
隨後該安全公司通過 TechCrunch 聯系梅賽德斯奔馳進行反饋,接到反饋後梅賽德斯奔馳立即確認問題並撤銷令牌,同時把暴露令牌的整個存儲庫都刪。
是否泄露數據目前還不清楚:
掃描顯示梅賽德斯奔馳員工是在 2023 年 9 月下旬不慎暴露自己的身份驗證令牌,也就是說到撤銷的時候已經有幾個月,這幾個月難免會有其他黑客掃描到令牌進而竊取所有數據。
遺憾的是梅賽德斯奔馳拒絕透露是否知道任何第三方訪問暴露的數據,或者說沒人知道該公司有沒有能力檢查數據遭到異常訪問,這可能需要完整的排查過去幾個月的日志。