Kodi burimor i Mercedes-Benz u ekspozua nga një e metë sigurie më e lehtë për t’u humbur
Mercedes-Benz kishte një dobësi të dukshme në një depo me burim të hapur që ekspozoi kodin e tij burimor, një thesar informacioni të vlefshëm dhe të ndjeshëm dhe e vuri kompaninë në rrezik të gjobave rregullatore. Mbetet për t’u parë nëse dikush ia doli apo jo të shfrytëzonte defektin përpara se të gjendej dhe mbyllej.
Studiuesit e sigurisë kibernetike nga RedHunt Labs gjetën një depo GitHub që i përkiste një punonjësi të Mercedesit në fund të shtatorit 2023.
Ky depo përmbante një token GitHub që jepte akses në serverin e brendshëm të ndërmarrjes GitHub të kompanisë.
“Token GitHub dha akses “të pakufizuar” dhe “të pa monitoruar” në të gjithë kodin burimor të vendosur në serverin e brendshëm të GitHub Enterprise,” pretendon raporti i RedHunt Labs. “Incidenti zbuloi depo të ndjeshme që strehonin një pasuri të pronës intelektuale dhe informacioni i komprometuar përfshinte vargjet e lidhjes së bazës së të dhënave, çelësat e aksesit në renë kompjuterike, projekte, dokumente të projektimit, fjalëkalime SSO, çelësa API dhe informacione të tjera kritike të brendshme”.
Studiuesit sugjerojnë se ky ishte një fatkeqësi e madhe që mund t’i kushtonte shtrenjtë kompanisë. Duke bërë inxhinieri të kundërt të kodit burimor, prodhuesit e tjerë të automjeteve mund të zbulojnë sekretet e teknologjisë së pronarit. Hakerët mund të përdorin të njëjtën gjë për të gjetur të meta, si në automjete ashtu edhe në vetë kompaninë, të cilat, për rrjedhojë, mund të çojnë në sulme kibernetike si ransomware.
Së fundi, nëse depot mbanin të dhëna të ndjeshme për klientët, mbikëqyrësit e mbrojtjes së të dhënave do të kenë gjithashtu ditën e tyre në terren.
Megjithatë, në një deklaratë të dhënë për BleepingComputer , Mercedes thotë se nuk do të jetë kështu.
“Ne mund të konfirmojmë se kodi burimor që përmban një shenjë të hyrjes së brendshme është publikuar në një depo publike të GitHub nga gabimi njerëzor,” tha kompania. “Ky token i dha akses në një numër të caktuar deposh, por jo në të gjithë kodin burimor të pritur në Serverin e brendshëm GitHub Enterprise. Ne kemi revokuar kodin përkatës dhe kemi hequr menjëherë depon publike. Të dhënat e klientëve nuk u prekën siç tregon analiza jonë aktuale.”