Una scansione di fughe di dati cunfidenziale in i repositori GitHub realizatu da RedHunt Labs hà revelatu a publicazione in un repositoriu publicu di un token API chì permette un accessu illimitatu à i repositori interni di Mercedes-Benz ospitati in un servitore internu basatu nantu à a piattaforma Github Enterprise Server. Hè cresce chì u token hè statu publicatu accidintali da unu di l'impiegati di Mercedes-Benz trà u codice publicatu in un repository publicu in GitHub.
U token hè statu in u repositoriu dapoi u 29 di settembre di u 2023, è hè statu scupertu l'11 di ghjennaghju di u 2024. Dopu chì a cumpagnia hè stata infurmata di l'incidentu u 24 di ghjennaghju, u token hè statu revucatu. Sicondu i rapprisentanti di Mercedes-Benz, u token espostu ùn hà micca datu accessu à tuttu u codice surghjente ospitatu in servitore, ma solu à repositori interni specifichi di l'impresa. I circadori chì anu scupertu u token anu dichjaratu in una dichjarazione chì i repositori interni accessibili cù u token cuntenianu ducumentazione tecnica chjusa è informazioni chì custituiscenu un sicretu cummerciale, è ancu dati cunfidenziali cum'è credenziali di login à a basa di dati, chjave d'accessu à i servizii cloud, chjave d'accessu API è password di serviziu.
Inoltre, vale a pena nutà a scansione di un milione realizata da Escape. domini per e chjave è i gettoni API accessibili publicamente. Una scansione di 189.5 milioni d'URL hà identificatu 18458 chjave è gettoni integrati in e pagine, u 41% di i quali eranu critichi, vale à dì chì a so perdita avaria risichi finanziarii significativi. Per esempiu, i circadori stimanu chì a quantità di fondi chì puderanu esse accessibili attraversu i gettoni API Stripe lasciati in e pagine hè di circa 20 milioni di dollari.
Trà i dati cunfidenziale identificati nantu à e pagine, tokens d'accessu per GitHub (51.5%), GitLab, Stripe (0.9%), OpenAI (1.4%), AWS, Twitch (0.7%), Coinbase, X/Twitter (2.7%), Slack (9.5%) è Discord (1.2%), è ancu e chjave private RSA (26.3%). 35% di e chjave identificate è tokens eranu prisenti in i schedari JavaScript. In u 2.1% di i casi, i dati sensittivi sò stati truvati in i fugliali ottenuti cumpilendu u codice JavaScript in un unicu schedariu.
Source: opennet.ru
