Mercedes-Benz dejó expuesta una clave que daba acceso al código fuente de la empresa
Mercedes-Benz dejó accidentalmente expuestos una gran cantidad de datos internos. Según la firma de investigación de seguridad RedHunt Labs, el fabricante de automóviles dejó expuesta en Internet una clave privada que otorgaba «acceso sin restricciones» al código fuente de la empresa.
Shubham Mittal, co-fundador y director de tecnología de RedHunt Labs, alertó sobre la exposición. La empresa de ciberseguridad con sede en Londres afirmó que descubrió un token de autenticación de un empleado de Mercedes-Benz en un repositorio público de GitHub durante un escaneo de rutina en enero.
Este token, que actúa como una alternativa al uso de una contraseña para autenticarse en GitHub, podría proporcionar a cualquiera acceso completo al Servidor Enterprise de GitHub de Mercedes, permitiendo la descarga de los repositorios de código fuente privados de la empresa.
El token de GitHub otorgaba acceso ‘sin restricciones’ y ‘sin supervisión’ a todo el código fuente alojado en el Servidor Enterprise de GitHub interno.
Los repositorios incluyen una gran cantidad de propiedad intelectual… cadenas de conexión, claves de acceso a la nube, planos, documentos de diseño, contraseñas de inicio de sesión único, claves de API y otra información interna crítica.
Los repositorios expuestos contenían claves de Microsoft Azure y Amazon Web Services (AWS), una base de datos Postgres y código fuente de Mercedes. Aún no se sabe si los repositorios contenían datos de clientes.
La portavoz de Mercedes, Katja Liesenfeld, confirmó que la compañía «revocó el respectivo token de API y eliminó inmediatamente el repositorio público».
Podemos confirmar que se publicó código fuente interno en un repositorio público de GitHub debido a un error humano. La seguridad de nuestra organización, productos y servicios es una de nuestras principales prioridades.
Continuaremos analizando este caso según nuestros procesos normales. Dependiendo de esto, implementaremos medidas correctivas.
No se sabe si alguien más además de Mittal descubrió la clave expuesta, que se publicó a fines de septiembre de 2023.
Mercedes no quiso comentar si está al tanto de algún acceso de terceros a los datos expuestos o si la empresa tiene la capacidad técnica, como registros de acceso, para determinar si hubo algún acceso indebido a sus repositorios de datos. La portavoz citó razones de seguridad no especificadas