การสแกนคลังข้อมูล GitHub ของ RedHunt Labs เพื่อหาการรั่วไหลของข้อมูลสำคัญ พบว่ามีการเผยแพร่โทเค็น API ในคลังข้อมูลสาธารณะ ซึ่งอนุญาตให้เข้าถึงคลังข้อมูลภายในของ Mercedes-Benz ที่โฮสต์อยู่บนเซิร์ฟเวอร์ภายในที่รัน GitHub Enterprise Server ได้โดยไม่จำกัด เชื่อว่าโทเค็นดังกล่าวถูกเผยแพร่โดยพนักงาน Mercedes-Benz โดยไม่ได้ตั้งใจท่ามกลางโค้ดที่โฮสต์อยู่ในคลังข้อมูล GitHub สาธารณะ
โทเค็นดังกล่าวอยู่ในที่เก็บข้อมูลมาตั้งแต่ 29 กันยายน 2023 และถูกค้นพบเมื่อวันที่ 11 มกราคม 2024 หลังจากที่บริษัทได้รับแจ้งเหตุการณ์ดังกล่าวในวันที่ 24 มกราคม โทเค็นนั้นก็ถูกเพิกถอน ตามคำกล่าวของตัวแทนจากเมอร์เซเดส-เบนซ์ โทเค็นที่ถูกเปิดเผยนั้นไม่ได้ให้สิทธิ์ในการเข้าถึงซอร์สโค้ดทั้งหมดที่โฮสต์อยู่บนที่เก็บข้อมูล เซิร์ฟเวอร์แต่เฉพาะในคลังข้อมูลภายในของบริษัทเท่านั้น นักวิจัยที่ค้นพบโทเค็นดังกล่าวระบุในแถลงการณ์ว่า คลังข้อมูลภายในที่เข้าถึงได้โดยใช้โทเค็นนั้นประกอบด้วยเอกสารทางเทคนิคที่เป็นความลับและข้อมูลที่ถือเป็นความลับทางการค้า รวมถึงข้อมูลที่เป็นความลับ เช่น ข้อมูลประจำตัวในการเข้าสู่ระบบฐานข้อมูล รหัสการเข้าถึงบริการคลาวด์ รหัสการเข้าถึง API และรหัสผ่านบริการ
นอกจากนี้ ยังควรกล่าวถึงการสแกนนับล้านที่ดำเนินการโดย Escape ด้วย โดเมน สำหรับคีย์และโทเค็น API ที่เข้าถึงได้โดยสาธารณะ การสแกน URL จำนวน 189.5 ล้านรายการ พบว่ามีคีย์และโทเค็น 18458 รายการฝังอยู่ในหน้าเว็บ ซึ่ง 41% เป็นคีย์และโทเค็นที่สำคัญ หมายความว่าหากสูญหายจะก่อให้เกิดความเสี่ยงทางการเงินอย่างมาก ตัวอย่างเช่น นักวิจัยประเมินว่าจำนวนเงินที่สามารถเข้าถึงได้ผ่านโทเค็น API ของ Stripe ที่ถูกทิ้งไว้ในหน้าเว็บนั้นมีมูลค่าประมาณ 20 ล้านดอลลาร์สหรัฐ
ข้อมูลที่ละเอียดอ่อนที่พบในหน้าเว็บเหล่านี้ประกอบด้วยโทเค็นการเข้าถึง (Access Token) สำหรับ GitHub (51.5%), GitLab, Stripe (0.9%), OpenAI (1.4%), AWS, Twitch (0.7%), Coinbase, X/Twitter (2.7%), Slack (9.5%) และ Discord (1.2%) รวมถึงคีย์ RSA ส่วนตัว (26.3%) คีย์และโทเค็นที่ระบุ 35% อยู่ในไฟล์ JavaScript ใน 2.1% ของกรณีทั้งหมด พบข้อมูลที่ละเอียดอ่อนในไฟล์ที่คอมไพล์จากโค้ด JavaScript เป็นไฟล์เดียว
ที่มา: opennet.ru
