Uit een scan van RedHunt Labs op lekken van gevoelige gegevens in GitHub-repositories bleek dat er een API-token is gepubliceerd in een openbare repository. Deze token biedt onbeperkte toegang tot interne Mercedes-Benz-repositories die worden gehost op een interne server op basis van het Github Enterprise Server-platform. Er wordt aangenomen dat de token per ongeluk door een medewerker van Mercedes-Benz is gepubliceerd in een openbare repository op GitHub.
Het token bevond zich sinds 29 september 2023 in de repository en werd ontdekt op 11 januari 2024. Nadat het bedrijf op 24 januari op de hoogte was gesteld van het incident, werd het token ingetrokken. Volgens vertegenwoordigers van Mercedes-Benz gaf het gelekte token geen toegang tot alle broncode die op het platform werd gehost. serverMaar alleen voor specifieke interne bedrijfsrepositories. De onderzoekers die het token ontdekten, verklaarden in een persbericht dat interne repositories die met het token toegankelijk waren, gesloten technische documentatie en informatie bevatten die als bedrijfsgeheim werden beschouwd, evenals vertrouwelijke gegevens zoals inloggegevens voor databases, toegangssleutels voor cloudservices, API-toegangssleutels en servicewachtwoorden.
Daarnaast is het vermeldenswaard dat Escape een scan van een miljoen heeft uitgevoerd. доменов voor publiekelijk toegankelijke sleutels en API-tokens. Een scan van 189.5 miljoen URL's identificeerde 18458 sleutels en tokens die op pagina's waren ingebed, waarvan 41% cruciaal was, wat betekent dat het verlies ervan aanzienlijke financiële risico's met zich mee zou brengen. Onderzoekers schatten bijvoorbeeld dat er ongeveer 20 miljoen dollar aan tegoeden toegankelijk zou kunnen zijn via Stripe API-tokens die op pagina's zijn achtergelaten.
Tot de gevoelige gegevens op de pagina's behoren toegangstokens voor GitHub (51.5%), GitLab, Stripe (0.9%), OpenAI (1.4%), AWS, Twitch (0.7%), Coinbase, X/Twitter (2.7%), Slack (9.5%) en Discord (1.2%), evenals privé-RSA-sleutels (26.3%). 35% van de geïdentificeerde sleutels en tokens waren aanwezig in JavaScript-bestanden. In 2.1% van de gevallen werden gevoelige gegevens aangetroffen in bestanden die voortkwamen uit het compileren van JavaScript-code in één bestand.
Bron: opennet.ru
