У ході проведеного компанією RedHunt Labs сканування витоків конфіденційних даних у репозиторіях GitHub було виявлено публікацію в публічному репозиторії API-токену, що дозволяє отримати необмежений доступ до внутрішніх репозиторій компанії Mercedes-Benz, розміщених на внутрішньому сервері на базі платформи. Передбачається, що токен був випадково опублікований одним із співробітників Mercedes-Benz серед коду, розміщеного у публічному репозиторії на GitHub.
Токен знаходиться у репозиторії з 29 вересня 2023 року та був виявлений 11 січня 2024 року. Після інформування компанії про інцидент 24 січня токена було відкликано. За заявою представників Mercedes-Benz за допомогою розкритого токена можна було отримати доступ не до всього вихідного коду, розміщеного на сервері, а лише до окремих внутрішніх репозиторій підприємства. При цьому в повідомленні дослідників, які виявили токен, йдеться, що у внутрішніх репозиторіях, до яких можна було підключитися за допомогою знайденого токена, зазначено наявність закритої технічної документації та інформації, що представляє комерційну таємницю, а також конфіденційних даних, таких як облікові дані для підключення до СУБД, ключі доступу до паро сервісів.
Додатково можна відзначити сканування мільйона, проведене компанією Escape. доменів на предмет наявності у відкритому доступі ключів та API-токенів. При скануванні, в ході якого проаналізовано 189.5 млн. URL, було виявлено 18458 вбудованих на сторінки ключів і токенів, з яких 41% є критично важливими, тобто важливими. їх втрата призводить до значних фінансових ризиків. Наприклад, за оцінкою дослідників, обсяг коштів, яких можна отримати доступ через залишені на сторінках токени для звернення до API Stripe, становить близько 20 млн доларів.
Серед виявлених на сторінках конфіденційних даних згадуються токени доступу до GitHub (51.5%), GitLab, Stripe (0.9%), OpenAI (1.4%), AWS, Twitch (0.7%), Coinbase, X/Twitter (2.7%), Slack (9.5%). RSA-ключі (26.3%). 35% з виявлених ключів та токенів були присутні у JavaScript-файлах. У 2.1% випадків конфіденційні дані знайшли в файлах, отриманих в результаті компіляції JavaScript-коду в один файл.
Джерело: opennet.ru
