Das Cybersicherheitsunternehmen RedHuntLabs entdeckte kürzlich bei einem routinemäßigen Internet-Scan, dass das bekannte Unternehmen Mercedes-Benz versehentlich Mitarbeiterauthentifizierungstoken durchsickern ließ, was dazu führte, dass der gesamte Quellcode und die auf GitHub Enterprise gehosteten Repositorys des Unternehmens dem öffentlichen Netzwerk zugänglich gemacht wurden.

Laut Analyse enthält der GitHub Enterprise Server von Mercedes-Benz eine große Menge vertraulicher Inhalte:

  • gesamten Quellcode

  • Inhalte des geistigen Eigentums

  • Zeichenfolge, die zum Herstellen einer Verbindung mit anderen Diensten verwendet wird

  • AWS/Azure-Verbindungsschlüssel

  • Entwurf

  • Designdokumentation

  • SSO-Passwort

  • API-Schlüssel

  • Weitere wichtige Informationen

    • Die AWS- und Microsoft Azure-Verbindungsschlüssel können für die Anmeldung bei von AWS und Microsoft gehosteten Mercedes-Benz-Servern verwendet werden, was zur Offenlegung weiterer privater Daten führen kann.

    Entwickler hat Token versehentlich auf GitHub offengelegt:

    GitHub ermöglicht Entwicklern die Generierung von Authentifizierungstokens als Alternative zu Passwörtern. Mitarbeiter von Mercedes-Benz haben ihre Token versehentlich in einem öffentlichen GitHub offengelegt, was bedeutet, dass jeder, der den Token erhält, direkt auf den GitHub Enterprise Server von Mercedes-Benz zugreifen und alle Daten herunterladen kann.

    RedHuntLabs durchsuchte einige der Daten zur Sicherheitsüberprüfung und stellte fest, dass sie auch AWS- und Azure-Schlüssel, Postgres-Datenbanken und andere Mercedes-Quellcodes enthielten.

    Anschließend kontaktierte das Sicherheitsunternehmen Mercedes-Benz um Feedback über TechCrunch. Nach Erhalt der Rückmeldung bestätigte Mercedes-Benz das Problem umgehend, widerrief den Token und löschte gleichzeitig das gesamte Repository, das den Token offenlegte.

    Es ist unklar, ob die Daten durchgesickert sind:

    Scans zeigen, dass Mitarbeiter von Mercedes-Benz ihre Authentifizierungstoken versehentlich Ende September 2023 preisgegeben haben, was bedeutet, dass seit dem Widerruf mehrere Monate vergangen sind. In diesen Monaten werden unweigerlich andere Hacker die Token scannen und sämtliche Daten stehlen.

    Leider wollte Mercedes-Benz nicht sagen, ob ihm bekannt war, dass Dritte Zugriff auf die offengelegten Daten hatten, oder ob das Unternehmen in der Lage war, ungewöhnliche Zugriffe auf die Daten zu überprüfen, was wahrscheinlich eine vollständige Überprüfung der Protokolle der letzten Monate erfordern würde.