Imbasan RedHunt Labs bagi repositori GitHub untuk kebocoran data sensitif mendedahkan penerbitan token API dalam repositori awam, membenarkan akses tanpa had kepada repositori dalaman Mercedes-Benz yang dihoskan pada pelayan dalaman yang menjalankan Pelayan Perusahaan GitHub. Adalah dipercayai bahawa token itu diterbitkan secara tidak sengaja oleh pekerja Mercedes-Benz di kalangan kod yang dihoskan dalam repositori GitHub awam.
Token tersebut telah berada dalam repositori sejak 29 September 2023, dan ditemui pada 11 Januari 2024. Selepas syarikat itu dimaklumkan tentang kejadian itu pada 24 Januari, token tersebut telah dibatalkan. Menurut wakil Mercedes-Benz, token yang terdedah tidak menyediakan akses kepada semua kod sumber yang dihoskan pada pelayan, tetapi hanya untuk repositori dalaman syarikat tertentu. Para penyelidik yang menemui token tersebut menyatakan dalam satu kenyataan bahawa repositori dalaman yang boleh diakses menggunakan token tersebut mengandungi dokumentasi teknikal tertutup dan maklumat yang membentuk rahsia komersial, serta data sulit seperti kelayakan log masuk pangkalan data, kunci akses perkhidmatan awan, kunci akses API dan kata laluan perkhidmatan.
Di samping itu, perlu diperhatikan imbasan sejuta yang dijalankan oleh Escape domain untuk kunci dan token API yang boleh diakses secara umum. Imbasan 189.5 juta URL mengenal pasti 18458 kunci dan token yang terbenam pada halaman, 41% daripadanya adalah kritikal, bermakna kerugiannya akan menimbulkan risiko kewangan yang ketara. Contohnya, penyelidik menganggarkan bahawa jumlah dana yang boleh diakses melalui token API Stripe yang ditinggalkan pada halaman adalah kira-kira $20 juta.
Data sensitif yang ditemui pada halaman termasuk token akses untuk GitHub (51.5%), GitLab, Stripe (0.9%), OpenAI (1.4%), AWS, Twitch (0.7%), Coinbase, X/Twitter (2.7%), Slack (9.5%) dan Discord.3%), serta kunci RSA persendirian (2.6%). Tiga puluh lima peratus daripada kunci dan token yang dikenal pasti hadir dalam fail JavaScript. Dalam 2.1% kes, data sensitif ditemui dalam fail yang disusun daripada kod JavaScript ke dalam satu fail.
Sumber: opennet.ru
