اكتشفت شركة RedHuntLabs للأمن السيبراني مؤخرًا خلال فحص روتيني للإنترنت أن شركة Mercedes-Benz الشهيرة قامت عن طريق الخطأ بتسريب رموز مصادقة الموظفين، مما أدى إلى كشف جميع التعليمات البرمجية المصدرية للشركة والمستودعات المستضافة على GitHub Enterprise للشبكة العامة.
وفقًا للتحليل، يحتوي GitHub Enterprise Server من مرسيدس بنز على كمية كبيرة من المحتوى السري:
كود المصدر بأكمله
محتوى الملكية الفكرية
السلسلة المستخدمة للاتصال بالخدمات الأخرى
مفتاح اتصال AWS/Azure
مخطط
وثائق التصميم
كلمة مرور تسجيل الدخول الموحّد (SSO).
مفتاح واجهة برمجة التطبيقات
معلومات أساسية أخرى
يمكن استخدام مفاتيح اتصال AWS وMicrosoft Azure لتسجيل الدخول إلى خوادم Mercedes-Benz التي تستضيفها AWS وMicrosoft، مما قد يؤدي إلى الكشف عن المزيد من البيانات الخاصة.
كشف المطور عن طريق الخطأ عن الرمز المميز على GitHub:
يتيح GitHub للمطورين إنشاء رموز المصادقة كبديل لكلمات المرور. كشف موظفو مرسيدس-بنز عن غير قصد عن رموزهم المميزة في GitHub العام، مما يعني أن أي شخص يحصل على الرمز المميز يمكنه الوصول مباشرة إلى GitHub Enterprise Server من مرسيدس-بنز وتنزيل جميع البيانات.
قامت RedHuntLabs باستعراض بعض البيانات لأغراض التحقق الأمني ووجدت أنها تحتوي أيضًا على مفاتيح AWS وAzure وقواعد بيانات Postgres وأكواد مصدر مرسيدس الأخرى.
ثم اتصلت شركة الأمن بشركة Mercedes-Benz للحصول على تعليقات من خلال TechCrunch. بعد تلقي التعليقات، أكدت مرسيدس-بنز المشكلة على الفور وألغت الرمز المميز، وفي الوقت نفسه حذفت المستودع بأكمله الذي كشف الرمز المميز.
ليس من الواضح ما إذا كانت البيانات قد تسربت:
تظهر عمليات المسح أن موظفي مرسيدس بنز كشفوا عن طريق الخطأ عن رموز المصادقة الخاصة بهم في أواخر سبتمبر 2023، مما يعني أنه قد مرت عدة أشهر منذ الإلغاء. وفي هذه الأشهر، سيقوم المتسللون الآخرون حتمًا بفحص الرموز المميزة وسرقة جميع البيانات.
ولسوء الحظ، رفضت مرسيدس بنز الإفصاح عما إذا كانت تعلم أن أي طرف ثالث لديه حق الوصول إلى البيانات المكشوفة، أو ما إذا كانت الشركة لديها القدرة على التحقق من الوصول غير المعتاد إلى البيانات، الأمر الذي من المحتمل أن يتطلب مراجعة كاملة للسجلات من الأشهر القليلة الماضية.