Skanado de GitHub-deponejoj fare de RedHunt Labs pri likoj de sentemaj datumoj rivelis la publikigon de API-ĵetono en publika deponejo, permesante senrestriktan aliron al la internaj deponejoj de Mercedes-Benz gastigitaj sur interna servilo funkcianta per GitHub Enterprise Server. Oni kredas, ke la ĵetono estis hazarde publikigita de dungito de Mercedes-Benz inter kodo gastigita en publika GitHub-deponejo.
La ĵetono estis en la deponejo ekde la 29-a de septembro 2023, kaj estis malkovrita la 11-an de januaro 2024. Post kiam la kompanio estis informita pri la okazaĵo la 24-an de januaro, la ĵetono estis revokita. Laŭ reprezentantoj de Mercedes-Benz, la malkaŝita ĵetono ne donis aliron al la tuta fontkodo gastigita sur servilo, sed nur al specifaj internaj kompaniaj deponejoj. La esploristoj, kiuj malkovris la ĵetonon, deklaris en deklaro, ke internaj deponejoj alireblaj per la ĵetono enhavis fermitan teknikan dokumentaron kaj informojn konsistigantajn komercan sekreton, same kiel konfidencajn datumojn kiel ekzemple ensalutajn akreditaĵojn al datumbazo, alirŝlosilojn al nubaj servoj, alirŝlosilojn al API kaj pasvortojn por servoj.
Plie, indas rimarki la skanadon de miliono faritan de Escape domajnoj por publike alireblaj ŝlosiloj kaj API-ĵetonoj. Skanado de 189.5 milionoj da URL-oj identigis 18 458 ŝlosilojn kaj ĵetonojn enigitajn sur paĝoj, el kiuj 41% estis kritikaj, kio signifas, ke ilia perdo prezentus signifajn financajn riskojn. Ekzemple, esploristoj taksas, ke la kvanto da financoj, kiujn oni povus aliri per Stripe API-ĵetonoj lasitaj sur paĝoj, estas proksimume 20 milionoj da dolaroj.
Sentemaj datumoj trovitaj sur la paĝoj inkluzivis alirajn ĵetonojn por GitHub (51.5%), GitLab, Stripe (0.9%), OpenAI (1.4%), AWS, Twitch (0.7%), Coinbase, X/Twitter (2.7%), Slack (9.5%), kaj Discord (1.2%), same kiel privatajn RSA-ŝlosilojn (26.3%). Tridek kvin procentoj de la identigitaj ŝlosiloj kaj ĵetonoj ĉeestis en JavaScript-dosieroj. En 2.1% de la kazoj, sentemaj datumoj estis trovitaj en dosieroj kompilitaj el JavaScript-kodo en unuopan dosieron.
fonto: opennet.ru
