研究人员发现奔驰一个员工的GitHub认证令牌被暴露,可能导致内部源代码仓库和敏感信息被无限制访问。奔驰已撤销令牌并清除公开仓库,但安全威胁仍存。奇安信代码卫士提醒关注软件开发安全问题。
聚焦源代码安全,网罗国内外最新资讯!
作者:Pierluigi Paganini
编译:代码卫士
RedHunt 实验室的研究人员发现,奔驰不慎将一个私钥暴露在网络,从而导致包含源代码在内的内部数据遭暴露。目前尚不清楚该数据泄露事件是否暴露了客户数据。
RedHunt Labs 与 TechCrunch 共享了研究成果并在媒体的帮助下告知奔驰。研究人员发现,奔驰一名员工的认证令牌被暴露在GitHub 一个公开库中。研究人员在1月份的常规互联网扫描中发现了这一情况。
被暴露的令牌可能会提供对奔驰 GitHub 企业服务器的无限制访问权限,导致任何人可检索奔驰的源代码私有仓库。RedHunt Labs 的联合创始人兼首席技术官 Shubham Mittal 表示,“GitHub 令牌提供了对托管在内部 GitHub 企业服务器上整个源代码的‘不受限制的’和‘不被监控的’访问权限。这些仓库包括大量知识财产、连接字符串、云访问密钥、蓝图、设计文档、单点登录密码、API密钥以及其它关键内部信息。”
Mittal 提供证据验证了微软 Azure 和 AWS 凭据、Postgres 数据库和奔驰源代码的存在。奔驰获悉数据泄露事件后,撤销了被暴露的令牌并清除了公开仓库。
上周一,TechCrunch 将此事告知奔驰。周三,奔驰发言人 Katja Liesenfeld 证实该公司“立即撤销了所涉及的 API 令牌并清除了公开仓库。我们证实因人为错误,内部源代码被发布在GitHub的一个公开仓库。我们组织机构、产品和服务的安全是我们的优先事项之一。我们将继续按照正常流程分析这一情况。为此,我们执行了修复措施。”
对这次事件的调查显示,该令牌自去年9月晚些时候就被暴露在互联网上。然而,目前尚不清楚其它组织是否获得对奔驰公司数据的越权访问权限。TechCrunch 提到,“奔驰拒绝说明是否发现第三方访问被暴露数据或该公司是否具有这种技术能力如访问日志来判定是否存在对数据仓库的不当访问权限。发言人未提及具体的安全原因。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
微软:热门源代码管理平台 Perforce Helix Core Server 中存在RCE漏洞
原文链接
https://securityaffairs.com/158306/data-breach/mercedes-benz-data-leak.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
