Uchanganuzi wa uvujaji wa data za siri katika hazina za GitHub uliofanywa na RedHunt Labs ulifichua uchapishaji huo katika hifadhi ya umma ya tokeni ya API ambayo inaruhusu ufikiaji usio na kikomo kwa hazina za ndani za Mercedes-Benz zinazopangishwa kwenye seva ya ndani kulingana na jukwaa la Seva ya Github Enterprise. Inaaminika kuwa ishara hiyo ilichapishwa kwa bahati mbaya na mmoja wa wafanyikazi wa Mercedes-Benz kati ya nambari iliyowekwa kwenye hazina ya umma kwenye GitHub.
Tokeni hiyo imekuwa katika hazina hiyo tangu Septemba 29, 2023, na iligunduliwa Januari 11, 2024. Baada ya kampuni hiyo kuarifiwa kuhusu tukio hilo Januari 24, tokeni hiyo ilifutwa. Kulingana na wawakilishi wa Mercedes-Benz, tokeni iliyofichuliwa haikutoa ufikiaji wa msimbo wote chanzo uliokuwa umehifadhiwa mnamo seva, lakini kwa hazina maalum za ndani za kampuni pekee. Watafiti waliogundua tokeni hiyo walisema katika taarifa kwamba hazina za ndani zinazopatikana kwa kutumia tokeni hiyo zilikuwa na nyaraka za kiufundi na taarifa zilizofungwa zinazounda siri ya kibiashara, pamoja na data ya siri kama vile vitambulisho vya kuingia kwenye hifadhidata, funguo za ufikiaji wa huduma ya wingu, funguo za ufikiaji wa API, na manenosiri ya huduma.
Zaidi ya hayo, ni muhimu kuzingatia uchunguzi wa milioni uliofanywa na Escape доменов kwa funguo na tokeni za API zinazopatikana hadharani. Uchanganuzi wa URL milioni 189.5 ulibaini funguo na tokeni 18458 zilizopachikwa kwenye kurasa, 41% ambazo zilikuwa muhimu, ikimaanisha kuwa hasara yao ingesababisha hatari kubwa za kifedha. Kwa mfano, watafiti wanakadiria kwamba kiasi cha fedha ambacho kingeweza kupatikana kupitia tokeni za API za Stripe zilizoachwa kwenye kurasa ni takriban dola milioni 20.
Miongoni mwa data ya siri iliyotambuliwa kwenye kurasa, tokeni za ufikiaji za GitHub (51.5%), GitLab, Stripe (0.9%), OpenAI (1.4%), AWS, Twitch (0.7%), Coinbase, X/Twitter (2.7%), Slack ( 9.5%) na Discord (1.2%), pamoja na funguo za kibinafsi za RSA (26.3%). 35% ya funguo na tokeni zilizotambuliwa zilikuwepo katika faili za JavaScript. Katika 2.1% ya visa, data nyeti ilipatikana katika faili zilizopatikana kwa sababu ya kuunda msimbo wa JavaScript kwenye faili moja.
Chanzo: opennet.ru
