Skönnun á trúnaðargagnaleka í GitHub geymslum sem framkvæmd var af RedHunt Labs leiddi í ljós birtingu í opinberri geymslu á API tákni sem leyfir ótakmarkaðan aðgang að innri Mercedes-Benz geymslum sem hýst er á innri netþjóni sem byggir á Github Enterprise Server pallinum. Talið er að táknið hafi óvart verið birt af einum af starfsmönnum Mercedes-Benz meðal kóðans sem settur var upp í opinberri geymslu á GitHub.
Táknið hefur verið í geymslunni frá 29. september 2023 og fannst 11. janúar 2024. Eftir að fyrirtækinu var tilkynnt um atvikið 24. janúar var táknið afturkallað. Samkvæmt fulltrúum Mercedes-Benz veitti afhjúpaða táknið ekki aðgang að öllum frumkóðanum sem hýstur var á ... netþjónn, en aðeins til tiltekinna innri gagnagrunna fyrirtækisins. Rannsakendurnir sem uppgötvuðu auðkennið sögðu í yfirlýsingu að innri gagnagrunnar sem aðgengilegir voru með auðkenninu innihéldu lokuð tæknileg skjöl og upplýsingar sem telst viðskiptaleyndarmál, sem og trúnaðargögn eins og innskráningarupplýsingar gagnagrunns, aðgangslykla skýjaþjónustu, aðgangslykla API og lykilorð fyrir þjónustu.
Að auki er vert að taka fram skönnun á milljón sem Escape framkvæmdi. lén fyrir opinberlega aðgengilega lykla og API-tákn. Skönnun á 189.5 milljón vefslóðum greindi 18458 lykla og tákn sem voru felld inn á síður, þar af voru 41% mikilvæg, sem þýðir að tap þeirra myndi hafa í för með sér verulega fjárhagslega áhættu. Til dæmis áætla rannsakendur að upphæðin sem hægt væri að nálgast í gegnum Stripe API-tákn sem eftir eru á síðum sé um það bil 20 milljónir Bandaríkjadala.
Meðal trúnaðargagna sem auðkennd eru á síðunum eru aðgangslyklar fyrir GitHub (51.5%), GitLab, Stripe (0.9%), OpenAI (1.4%), AWS, Twitch (0.7%), Coinbase, X/Twitter (2.7%), Slack (9.5%) og Discord (1.2%), auk einka RSA lykla (26.3%). 35% auðkenndra lykla og tákna voru til staðar í JavaScript skrám. Í 2.1% tilvika fundust viðkvæm gögn í skrám sem fengust með því að setja JavaScript kóða saman í eina skrá.
Heimild: opennet.ru
