Μια σάρωση διαρροών ευαίσθητων δεδομένων σε αποθετήρια GitHub που διεξήχθη από την RedHunt Labs αποκάλυψε τη δημοσίευση ενός διακριτικού API σε ένα δημόσιο αποθετήριο που επιτρέπει απεριόριστη πρόσβαση σε εσωτερικά αποθετήρια της Mercedes-Benz που φιλοξενούνται σε έναν εσωτερικό διακομιστή που βασίζεται στην πλατφόρμα Github Enterprise Server. Πιστεύεται ότι το διακριτικό δημοσιεύτηκε κατά λάθος από έναν υπάλληλο της Mercedes-Benz σε κώδικα που δημοσιεύτηκε σε ένα δημόσιο αποθετήριο στο GitHub.
Το token βρισκόταν στο αποθετήριο από τις 29 Σεπτεμβρίου 2023 και ανακαλύφθηκε στις 11 Ιανουαρίου 2024. Αφού η εταιρεία ενημερώθηκε για το περιστατικό στις 24 Ιανουαρίου, το token ανακλήθηκε. Σύμφωνα με εκπροσώπους της Mercedes-Benz, το εκτεθειμένο token δεν παρείχε πρόσβαση σε όλο τον πηγαίο κώδικα που φιλοξενούνταν στο υπηρέτης, αλλά μόνο σε συγκεκριμένα εσωτερικά αποθετήρια της εταιρείας. Οι ερευνητές που ανακάλυψαν το διακριτικό δήλωσαν σε μια δήλωση ότι τα εσωτερικά αποθετήρια στα οποία ήταν προσβάσιμο χρησιμοποιώντας το διακριτικό περιείχαν κλειστή τεχνική τεκμηρίωση και πληροφορίες που αποτελούσαν εμπορικό μυστικό, καθώς και εμπιστευτικά δεδομένα όπως διαπιστευτήρια σύνδεσης σε βάση δεδομένων, κλειδιά πρόσβασης σε υπηρεσία cloud, κλειδιά πρόσβασης API και κωδικούς πρόσβασης υπηρεσίας.
Επιπλέον, αξίζει να σημειωθεί η σάρωση ενός εκατομμυρίου που πραγματοποίησε η Escape. ντομέν για δημόσια προσβάσιμα κλειδιά και διακριτικά API. Μια σάρωση 189.5 εκατομμυρίων URL εντόπισε 18458 κλειδιά και διακριτικά ενσωματωμένα σε σελίδες, το 41% των οποίων ήταν κρίσιμα, πράγμα που σημαίνει ότι η απώλειά τους θα ενείχε σημαντικούς οικονομικούς κινδύνους. Για παράδειγμα, οι ερευνητές εκτιμούν ότι το ποσό των χρημάτων στα οποία θα μπορούσε να αποκτηθεί πρόσβαση μέσω των διακριτικών API του Stripe που έχουν απομείνει στις σελίδες είναι περίπου 20 εκατομμύρια δολάρια.
Τα ευαίσθητα δεδομένα που βρέθηκαν στις σελίδες περιελάμβαναν διακριτικά πρόσβασης στο GitHub (51.5%), GitLab, Stripe (0.9%), OpenAI (1.4%), AWS, Twitch (0.7%), Coinbase, X/Twitter (2.7%), Slack (9.5%) και Discord (1.2%), καθώς και ιδιωτικά κλειδιά RSA (26.3%). Το 35% των αναγνωρισμένων κλειδιών και διακριτικών υπήρχαν σε αρχεία JavaScript. Στο 2.1% των περιπτώσεων, βρέθηκαν ευαίσθητα δεδομένα σε αρχεία που αποκτήθηκαν με τη μεταγλώττιση κώδικα JavaScript σε ένα μόνο αρχείο.
Πηγή: opennet.ru
